Quelle: https://datenrecht.ch/eugh-c-645-19-ausnahmen-vom-one-stop-shop/?utm_source=datenrecht&utm_campaign=acda7c4359-datenrecht-Mailchimp&utm_medium=email&utm_term=0_15155ce73b-acda7c4359-90792857; Urteil EuGH C‑645/19 vom 15. Juni 2021
Der Europäische Gerichtshof (EuGH) kam in seinem Urteil C-645/10 vom 15. Juni 2021 zum Schluss, dass die nationalen Datenschutzbehörden unter Umständen auch dann tätig werden dürfen, wenn das verantwortliche Unternehmen seinen Hauptsitz im Ausland hat und somit auch unter der Federführung einer anderen Behörde steht.
In diesem Verfahren ging es um eine Unterlassungsklage belgischer Datenschützer an die Adresse von Facebook (Beklagte). Die belgische Datenschützer warfen Facebook eine übermässige Datenerhebung vor. Die Beklagte, die in Dublin ansässig ist, bestritt bereits die Zulässigkeit der Klage. Gemäss Ausführungen der Beklagten erkläre der „One-Stop-Shop“ Mechanismus der DSGVO (europäische Datenschutzgrundverordnung) allein die federführende Aufsichtsbehörde für zuständig.
„Der zugrunde liegende Zielkonflikt zwischen einheitlicher Beurteilung und effektivem Rechtsschutz durchzieht schon den Rechtsrahmen: Einerseits ist jede Aufsichtsbehörde unabhängig und «im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig» (Art. 55 Abs. 1 DSGVO). Andererseits erklärt Art. 56 derselben Verordnung die Behörde am Ort der Haupt- bzw. der einzigen Niederlassung für «federführend» (Abs. 1) und in Fragen der grenzüberschreitenden Datenverarbeitung zum «einzige[n] Ansprechpartner der Verantwortlichen» (Abs. 6).“ (https://datenrecht.ch/eugh-c-645-19-ausnahmen-vom-one-stop-shop/?utm_source=datenrecht&utm_campaign=acda7c4359-datenrecht-Mailchimp&utm_medium=email&utm_term=0_15155ce73b-acda7c4359-90792857)
Der EuGH erachtete den Vorbehalt in der Aufgabenteilung als grundrechtskonform. Ferner bestätigte der EuGH, dass bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten die Zuständigkeit der federführenden Aufsichtsbehörde (…) die Regel und die Zuständigkeit der andere betroffenen Aufsichtsbehörden (…) die Ausnahmen bilden (Rn 67 f. Urteil EuGH C‑645/19). Ausserdem machte der EuGH auch deutlich, dass jene Arbeitsteilung notwendigerweise auf der Prämisse einer loyalen und wirksamen Zusammenarbeit beruhe und die korrekte und kohärente Anwendung der DSGVO bezwecke. Der „One-Stop-Shop“ Mechanismus findet an dieser Annahme und Zielsetzung seine Grenzen:
«[D]ie in der Verordnung enthaltenen Vorschriften über die Aufteilung der Entscheidungszuständigkeiten zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden […] ändern [nichts daran], dass alle diese Behörden zu einem hohen Niveau des Schutzes der genannten Rechte beizutragen haben […]. Dies bedeutet insbesondere, dass das Verfahren der Zusammenarbeit und Kohärenz keinesfalls dazu führen darf, dass eine nationale Aufsichtsbehörde, namentlich die federführende, ihren Verpflichtungen […] nicht nachkommt, zu einem wirksamen Schutz […] beizutragen. Sonst würde einem forum shopping – insbesondere der Verantwortlichen – zur Umgehung dieser Grundrechte und der wirksamen Anwendung der Vorschriften […] Vorschub geleistet.» (Rn. 67 f.)
Grundsätzlich kann folgendes festgehalten werden: Der Umfang der Entscheidungsbefugnis federführender Behörden hängt also wesentlich von der Wirksamkeit ihrer Rechtsdurchsetzung ab. Diesbezüglich ist der Umfang in mehrfacher Hinsicht zu relativieren:
· Ausdrückliche Ausnahmen gelten für Fälle besonderer Dringlichkeit (Art. 66 DSGVO; Rn. 59) sowie bei Auswirkungen auf nur einen Mitgliedstaat (Art. 56 Abs. 2 DSGVO; Rn. 58). Zwar darf die federführende Behörde auch diese Fälle übernehmen, doch hat sie diesfalls dem Beschlussentwurf der unterrichtenden Behörde «weitestgehend Rechnung» zu tragen (Art. 56 Abs. 4 DSGVO; Rn 61);
· Verweigert die federführende Behörde die amtshilfeweise Übermittlung von Informationen, ist es der ersuchenden Behörde ferner unbenommen, einstweilige Massnahmen zu ergreifen (Art. 61 Abs. 8 DSGVO; Rn. 71);
· Darüber hinaus bietet das Kohärenzverfahren nach Art. 63 DSGVO umfangreiche Beteiligungsmöglichkeiten für nicht-federführende Behörden und überlässt die Entscheidung in Streitfällen dem Europäischen Datenschutzausschuss (Art. 65 Abs. 1 DSGVO; Rn. 59);
· Schliesslich setzt die Klageerhebung durch die Aufsichtsbehörden nicht voraus, dass das verantwortliche Unternehmen eine Niederlassung in ihrem Mitgliedstaat besitzt (Rn. 84).[1]
Quelle:https://curia.europa.eu/jcms/upload/docs/application/pdf/2021-03/cp210036de.pdf[1]
«Hat der Urheberrechtsinhaber beschränkende Massnahmen gegen Framing getroffen oder veranlasst, stellt die Einbettung eines Werks in eine Website eines Dritten im Wege dieser Technik eine Zugänglichmachung dieses Werks für ein neues Publikum dar.» (EuGH, Urteil vom 09.03.2021, Az. C-392/19).
Für die öffentliche Wiedergabe muss die Erlaubnis des Urheberrechtsinhabers gegeben sein.
Die Trägerin der Deutschen Digitalen Bibliothek ist die Stiftung Preussischer Kulturbesitz (SPK). Die Deutsche Digitale Bibliothek bietet eine Online-Plattform für Kultur und Wissen an, die deutsche Kultur- und Wissenschaftseinrichtungen miteinander vernetzt. Auf der Webseite der Bibliothek werden digitalisierte Inhalte verlinkt, die in den Webportalen der zuliefernden Einrichtungen gespeichert sind.
«Die VG Bild-Kunst, eine Gesellschaft zur kollektiven Wahrnehmung von Urheberrechten an Werken der bildenden Künste in Deutschland, macht den Abschluss eines Lizenzvertrags mit der SPK über die Nutzung ihres Repertoires von Werken in Form von Vorschaubildern davon abhängig, dass in den Vertrag eine Bestimmung aufgenommen wird, wonach sich die SPK verpflichtet, bei der Nutzung der Werke wirksame technische Massnahmen gegen das Framing1 der im Portal der Deutschen Digitalen Bibliothek angezeigten Vorschaubilder dieser Werke durch Dritte durchzuführen. Da die SPK eine solche Vertragsbedingung aus urheberrechtlichen Gründen nicht für angemessen hielt, erhob sie vor den deutschen Gerichten Klage auf Feststellung einer Verpflichtung der VG Bild-Kunst, die fragliche Lizenz zu erteilen, ohne diese an die Bedingung zu knüpfen, dass Massnahmen zur Verhinderung von Framing getroffen werden»[2]
Diesbezüglich ersuchte der Bundesgerichtshof den Gerichtshof um Klärung der Frage, ob dieses Framing als eine öffentliche Wiedergabe im Sinne der Richtlinie 2001/29 anzusehen ist, was es der VG Bild-Kunst erlauben würde, die SPK zur Durchführung dieser Massnahmen zu verpflichten.
Für weitere Ausführungen siehe Pressemitteilung Nr. 36/21, Luxemburg, den 9. März 2021: https://curia.europa.eu/jcms/upload/docs/application/pdf/2021-03/cp210036de.pdf
Quelle: https://medien-internet-und-recht.de/pdf/VT-MIR-2021-Dok-017.pdf; https://www.wettbewerbszentrale.de/de/home/_news/?id=3443
Das OLG Köln hat in seinem Entscheid vom 19. Februar 2021 (Az. 6 U 103/20) entschieden, dass eine Influencerin Postings auf Instagram als Werbung kennzeichnen muss, auch wenn sie für diese Beiträge keine Bezahlung erhalten hat.
Das OLG Köln weist die Berufung der Beklagten zurück, lässt aber die Revision zum Bundesgerichtshof zu, weil „in der Rechtsprechung Uneinigkeit über die Frage besteht, welche Voraussetzungen erforderlich sind, um die Vermutung einer kommerziellen Motivation bei der sog. Influencerwerbung zu bejahen.“
In seiner Entscheidung setzt sich das OLG Köln mit den verschiedenen Argumenten auseinander. Zunächst wird die Frage beantwortet, ob eine geschäftliche Handlung vorliegt, denn nur dann ist der Anwendungsbereich des UWG betroffen. Das OLG Köln bejaht eine geschäftliche Handlung. „Diese liege sowohl in der Aufmerksamkeitswerbung zugunsten der in den Posts genannten und „vertaggten“ Unternehmen als auch in der Förderung des eigenen Unternehmens der Beklagten, die unter anderem Werbedienstleistungen in Form von Posts gegen Entgelt anbiete. Auf dem Weg zu diesem Ergebnis schlussfolgern die Richter, dass es einer Bewertung als geschäftlicher Handlung nicht entgehen stehe, wenn das in Rede stehende Verhalten redaktioneller oder informierender Natur sei“.[1]
Dass Äusserungen von Influencern auch redaktioneller oder informierender Natur sind, steht einer Bewertung als geschäftliche Handlung nicht entgegen. Journalismusnahe Tätigkeiten sind der UWG-Kontrolle auch nicht entzogen, wenn sie mittelbar durch Werbung finanziert werden.
„Eine Kennzeichnung von Influencer-Mitteilungen auf Instagram ist auch bei followerstarken Profilen nicht stets entbehrlich, denn gerade dieser Dienst profitiert davon, dass Profilinhaber sich nicht nur als kommerziell tätig, sondern als authentisch bezeichnen.“
Wenn Mitteilungen durch ein direktes Entgelt oder eine sonstige, auch geringwertige Gegenleistung mitbeeinflusst werden, dann ist eine überwiegende kommerzielle Absicht bei Postings von Influencern zu vermuten.
Quelle: https://shopbetreiber-blog.de/2020/12/22/lg-frankfurt-a-m-zwingende-auswahl-einer-anrede-kann-persoenlichkeitsrecht-verletzen/ https://www.jurpc.de/jurpc/show?id=20210004
Das LG Frankfurt a.M. hat im Urteil vom 3. Dezember 2020 (2-12 O 131/20) entschieden, dass die Auswahl zwischen der Anrede «Herr» und «Frau» im Registrierungs- und / oder Bestellprozess Personen mit nicht binärer Geschlechtsidentität in ihrem Allgemeinen Persönlichkeitsrecht verletzte.
Weiterlesen: Publikation: LG Frankfurt: Geschlechterdiskriminierende Anrede
Quelle: https://medien-internet-und-recht.de/pdf/VT-MIR-2020-Dok-098.pdf https://www.internetworld.de/marketing-praxis/branding/olg-urteil-stellt-grundprinzip-markenrechtsverletzungen-kopf-2622646.html#gref
Die Unterlassungspflicht umfasst nicht die Beseitigung der Benutzung des Zeichens auf Webseiten Dritter, die die Webseite des Verletzers auf eigene Initiative ohne unmittelbaren oder mittelbaren Auftrag des Verletzers übernehmen, wenn jemand auf seiner Webseite ein Zeichen platziert hat, welches das Kennzeichen eines Dritten verletzt.
Weiterlesen: Publikation Reichweite von Unterlassungserklärung
Quelle: BGer 4A_125/2020; https://datenrecht.ch/4a_125-2020-amtl-publ-gegenstand-des-auskunftsrechts-insb-betr-herkunftsangaben-keine-auskunft-auf-daten-im-gedaechtnis/
Im Entscheid 4A_125/2020 hat sich das Bundesgericht mit dem Gegenstand des Auskunftsrechts auseinandergesetzt. Das Bundesgericht hat dabei eine restriktivere Haltung eingenommen als das Obergericht Zürich als Vorinstanz im Urteil vom 30. Januar 2020 (Geschäfts-Nr. PP190037-O/U).
Weiterlesen: Publikation: Schweizerisches Bundesgericht: Gegenstand des Auskunftsrechts
Am 13. Oktober 2020 hat sich das oberste Verwaltungsgericht Frankreichs (der Conseil d’ État) zu einem Vertrag mi Microsoft über das Hosting von Gesundheitsdaten auf MS Azure für die Plattform „Health Data Hub“[1] geäussert.
Bei Health Data Hub handelt es sich um eine öffentliche Einrichtung für den Austausch von Gesundheitsdaten zu Forschungszwecken. Diesbezüglich hatte die Plattform einen Hosting-Vertrag mit Microsoft Irland geschlossen. Laut Gewerkschaften und einzelnen Personen in Frankreich soll die Bearbeitung von Gesundheitsdaten durch die Plattform „Health Data Hub“ untersagt werden. Der Grund hierfür: Es wird eine Übermittlung von Personendaten in die USA befürchtet. Gemäss dem Schrems-II-Urteil des EuGH fehle ein angemessenes Datenschutzniveau.
Die Klage wurde von Conseil d’ État abgewiesen. Folgende Überlegungen waren dafür massgebend:
Quelle: Kantonsgericht Appenzell Ausserrhoden; Entscheid Einzelrichter vom 14.8.2020
Das Zwangsmassnahmengericht des Kantons Appenzell Ausserrhoden hat am 14.
August 2020 über ein Entsiegelungsgesuch der Staatsanwaltschaft AR (Antragstellerin)
bezüglich eines vom kantonalen Rechenzentrum AR Informatik AG (Antragsgegnerin)
auf Befehl der Staatsanwaltschaft AR erstellten USB-Stick mit über 10‘000 Chatverläufe
verfügt. Das kantonale Rechenzentrum hinterlegte den USB-Stick passwortgeschützt
beim Massnahmengericht, um ein offizielles Entsiegelungsverfahren durchführen zu
lassen.
Quelle: BGH III ZB 30/20 vom 27.98.2020
Das BGH hat entschieden, dass Facebook mit der Übergabe eines USB Sticks mit den PDF-Dateien der Erblasserin seiner Pflicht der Auskunft nicht nachgekommen sei. Es muss vielmehr den Erben Zugang zum Benutzerkonto gewähren.
Quelle: https://datenrecht.ch/dsk-zum-schrems-ii-urteil-des-eugh/
Die deutsche Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) veröffentlichte zum Urteil des EuGH bezüglich Schrems II eine Pressemitteilung.
In der Pressemitteilung von der deutschen Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) wurden folgende Punkte festgehalten:
· Für eine Übermittlung von Personendaten in die USA und andere Drittländer dürfen die bestehenden Standardvertragsklauseln weiter genutzt werden. Der EuGH betont dabei die Verantwortung des Verantwortlichen und des Empfängers. Diese müssen überprüfen und bewerten, ob die Rechte der betroffenen Personen im „Drittland“ ein gleichwertiges Schutzniveau wie in der Union geniessen. “Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Massnahmen grundsätzlich nicht aus.“
· Die Feststellungen des EuGH finden auch auf BCR (Binding Corporate Rules) Anwendung. Diese müssen ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren.
· Die Aufsichtsbehörden haben vom EuGH eine „Schlüsselrolle“ bei der Durchsetzung der DSGVO zugewiesen erhalten.
Quelle: https://www.jurpc.de/jurpc/show?id=20200105; https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html
Am 28. Mai 2020 hat der Bundesgerichtshof (BGH) entschieden (Urteil vom 28. Mai 2020, I ZR 7/16), dass eine Opt-Out Regelung nicht ausreicht, um die Zustimmung von Nutzern zur Speicherung von Daten zu erlangen. Cookie-Banner wurden für unrechtmässig erklärt, wenn diese nur weggeklickt werden können.
Der Bundesgerichtshof hat im vorliegenden Fall über die Frage entschieden, welche Anforderungen an die Einwilligung in telefonische Werbung und die Speicherung von Cookies auf dem Endgerät des Nutzers zu stellen sind.
Die Beklagte veranstaltete im September 2013 ein Gewinnspiel. Beim Kläger handelt es sich um den Bundesverband der Verbraucherzentralen. Der Nutzer gelangte auf eine Seite nach Eingabe der Postleitzahl. Schliesslich musste der Name und Anschrift des Nutzers angegeben werden. Unter den Eingabefeldern für die Adresse befanden sich zwei Ankreuzfeldern versehene Einverständniserklärungen.
Einerseits sollte mit Bestätigen des ersten Textes, dessen Ankreuzfeld nicht mit einem voreingestellten Häkchen versehen war, das Einverständnis mit einer Werbung durch Sponsoren und Kooperationspartner der Beklagten per Post, Telefon, E-Mail oder SMS erklärt werden. Das zweite Ankreuzfeld war mit einem voreingestellten „Häckchen“ versehen und lautete:
"Ich bin einverstanden, dass der Webanalysedienst Remintrex bei mir eingesetzt wird. Das hat zur Folge, dass der Gewinnspielveranstalter, die [Beklagte], nach Registrierung für das Gewinnspiel Cookies setzt, welches [der Beklagten] eine Auswertung meines Surf- und Nutzungsverhaltens auf Websites von Werbepartnern und damit interessengerichtete Werbung durch Remintrex ermöglicht. Die Cookies kann ich jederzeit wieder löschen. Lesen Sie Näheres hier."
Der voreingestellte Haken konnte entfernt werden. Eine Teilnahme am Gewinnspiel war aber nur möglich, wenn mindestens eines der beiden Felder mit einem Haken versehen war.
Die Einwilligung der Nutzer muss durch aktives Ankreuzen entsprechender Felder erklärt werden. Das vorformulierte Einverständnis zum Setzen von Cookies sei laut BGH unwirksam. Eine Ausnahme bilden sie sog. „zwingend erforderliche“ Cookies. Es hängt vom konkreten Einzelfall ab, wann dies genau der Fall sein soll. Das Tracking zu Werbezwecken und zur Profilbildung ist nach BGH nicht zwingend erforderlich und die Einwilligung muss hierfür mittels Opt-In gegeben sein.
„An dieser Rechtslage hat sich seit dem 25. Mai 2018, dem ersten Geltungstag der Verordnung (EU) 2016/679, nichts geändert, weil diese Verordnung nach ihrem Art. 95 die Fortgeltung des § 15 Abs. 3 Satz 1 TMG als den Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG umsetzende nationale Regelung unberührt lässt. Soweit für die Definition der Einwilligung nicht mehr auf Art. 2 Buchst. h der aufgehobenen Richtlinie 95/46/EG abgestellt werden kann, sondern Art. 4 Nr. 11 der Verordnung (EU) 2016/679 heranzuziehen ist, führt dies zum selben Ergebnis. Der Gerichtshof der Europäischen Union hat auf Vorlage durch den Senat auch mit Blick auf Art. 4 Nr. 11 der Verordnung (EU) 2016/679 entschieden, dass ein vom Nutzer abzuwählendes, voreingestelltes Ankreuzkästchen keine wirksame Einwilligung darstellt.“
Quelle: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf; https://www.srf.ch/play/radio/rendez-vous/audio/facebook-und-co--muessen-praxis-aendern?id=47c225bc-84ed-4a54-a73a-eafd6483a41e
Das Datenschutzabkommen „Privacy Shield“ 2016/1250 wurde vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Im Prinzip sei aber ein Datentransfer in andere Staaten auf Basis sogenannter Standardvertragsklauseln weiterhin zulässig, sofern ein gleichwertiges Niveau an Datenschutz in den Vereinigten Staaten gegeben ist.
Mit dem vom Europäischen Gerichtshof am 16. Juli 2020 verkündeten Urteil stellt der Gerichtshof im europäischen Datenschutzrecht bezüglich des Verhältnisses EU und den Vereinigten Staaten fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte.
Im vorliegenden Fall reichte Herr Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, Nutzer von Facebook, eine Beschwerde bei der irischen Aufsichtsbehörde ein. Die personenbezogenen Daten werden ganz oder teilweise von Facebook Ireland an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und verarbeitet. Im Wesentlichen zielte die Beschwerde darauf ab, diese Übermittlungen verbieten zu lassen. Mit der Beschwerde machte Herr Schrems geltend, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten bieten.
Der EuGH erklärte das „Privacy Shield“ für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Die Standardvertragsklauseln sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland angemessen geschützt sind.
„In Bezug auf das im Rahmen einer solchen Übermittlung erforderliche Schutzniveau entscheidet der Gerichtshof, dass die insoweit in der DSGVO vorgesehenen Anforderungen, die sich auf geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe beziehen, dahin auszulegen sind, dass die Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen müssen, das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.“
Betreffend die Pflichten, die den Aufsichtsbehörden im Zusammenhang mit solchen Übermittlungen obliegen, vertritt der EuGH die Meinung, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine „Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet.“
Fazit:
Die Daten aus sozialen Netzwerken dürfen nicht mehr ohne weiteres in die Vereinigten Staaten geliefert werden. Diesbezüglich hat der EuGH die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den Vereinigten Staaten gekippt. Der EuGH hat mit dieser Aufhebung das Datenschutzrecht gestärkt. Als betroffene Personen haben wir nicht die gleichen Rechte an unseren Daten in den Vereinigten Staaten wie in Europa. In den Vereinigten Staaten können die Daten unbefugt weitergegeben werden, insbesondere auch an Geheimdienste. In Vereinigten Staaten kann man sich nicht an eine unabhängige Behörde wenden, die sich für unsere Rechte einsetzen würde, wie das bspw. bei den Datenschutz-Aufsichtsbehörden in Europa der Fall ist.
Die Schweiz hat ein ähnliches Abkommen „Privacy Shield“ mit den Vereinigten Staaten. Wir müssen davon ausgehen, dass dieses Abkommen auch nicht unserem Datenschutzniveau entspricht und ungültig sein wird.
Mit der Aufhebung des „Privacy Shield“ fällt nicht der ganze Datenaustausch mit den Vereinigten Staaten weg. Es braucht allerdings jetzt individuelle Vertragsklauseln. Diese wurden vom EuGH nicht aufgehoben, denn sie können von den unabhängigen Datenschutz Aufsichtsbehörden überprüft werden. Im vorliegenden Fall geht es um kommerziellen Daten, welche an Unternehmen weitergegeben werden (bspw. durch soziale Netzwerke). Diese Unternehmen sind nun gezwungen sich an europäisches Datenschutzniveau besser zu halten und die Daten sicherer zu bearbeiten.[1]
[1]https://www.srf.ch/play/radio/rendez-vous/audio/facebook-und-co--muessen-praxis-aendern?id=47c225bc-84ed-4a54-a73a-eafd6483a41e kurzes Interview mit Herrn Bruno Baeriswyl, früherer Datenschützer des Kantons Zürich.
____________________________________________________
Quelle: https://datenrecht.ch/busse-der-cnil-gegen-google-bestaetigt/
Der Conseil d’Etat, das höchste Verwaltungsgericht Frankreichs, bestätigte am 19. Juni 2020 die Busse der CNIL gegen Google.
Google LLC hat bzw. hatte keine Hauptneiderlassung in der EU, weil die irische Nieder- lassung weder befugt war, Google LLC anzuweisen oder zu kontrollieren, noch über die Zwecke und Mittel ihrer Datenverarbeitungen entschied. Dies hat der Conseil d’Etat be- stätigt.
Der Conseil d’Etat hält die Informationen von Google über ihre Datenverarbeitungen für
intransparent. Die Informationen erster Stufe, erster Ebene im „layered approach“ seien
zu generisch gewesen. Des Weiteren wurde auch keine wirksame Einwilligung eingeholt,
„wegen unzureichender Information und mit einer vorangekreuzten Checkbox.“
____________________________________________________
Die staatliche niederländische Kreditauskunftei BKR (Bureau Krediet Registrate) ist mit einer Busse von EUR 830‘000.00 belastet worden. Es handelt sich um eine systemati- sche Verletzung des Auskunftsrechts.
_____________________________________________________
Hat die Influencerin auf ihrem Instagram-Profil
Schleichwerbung gemacht? Das Oberlandesgericht München hat sich mit dieser
Frage befasst (Urteil vom 25. Juni 2020 - 4 HK O 14312/18)
Das OLG München wies die Berufung des Verbandes Sozialer Wettbewerb zurück. Der Verband warf der Influencerin vor, mehrere ihrer Beiträge auf Instagram nicht als Werbung gekennzeichnet zu haben.
„Der Senat dagegen sieht
die angegriffenen Posts nicht als "unlauter im Sinne des
Wettbewerbsrechts" an, wie eine Gerichtssprecherin anschliessend
mitteilte.“ Ferner verneinte der Senat
das Vorliegen einer geschäftlichen Handlung, was bedeutet, dass die
Influencerin damit kein Geld verdienen wollte.
_____________________________________________________
Die Influencer müssen Beiträge mit Produktdarstellungen und
Herstellerhinweisen nicht ausdrücklich als Werbung kennzeichnen, wenn für
Verbraucher offensichtlich ist, dass es sich um Influencer-Werbung handelt.
Dies hat das OLG Hamburg am 2. Juli 2020 entschieden.
Im vorliegenden Fall klagte ein Wettbewerbsverband
gegen eine Influencerin aus Hamburg, die mit Werbeverträgen ihren
Lebensunterhalt verdient. Die Influencerin hat auf ihrem Instagram-Account rund
1.7 Mio. Abonnenten. Sie veröffentlicht zu den Themen Beauty, Mode, Lifestyle
und Reisen Bilder und Texte, die sie nur dann ausdrücklich als Werbung
kennzeichnet, wenn sie hierfür eine Bezahlung von Unternehmen erhält, deren
Produkte gezeigt werden.
Gegenstand des Streits waren Beiträge, die ohne
konkrete Bezahlung mit Hinweisen auf den Hersteller der gezeigten Produkte
versehen sind. Der Verband verlangte auch hier eine ausdrückliche Kennzeichnung
der Werbung.
Sofern für Verbraucher offensichtlich ist, dass es
sich um Influencer-Marketing handelt, braucht es gemäss OLG Hamburg keine
ausdrückliche Kennzeichnung der Werbung. Nach Auffassung des OLG ist der
kommerzielle Zweck solcher Postings als Werbung für Verbraucher derart
offensichtlich, dass die Gefahr einer Irreführung oder eine Verwechslung mit
privaten oder redaktionellen Inhalten ausgeschlossen ist.
„Trotzdem sei die fehlende
Kennzeichnung der Postings als Werbung nicht wettbewerbswidrig, denn der
kommerzielle Zweck der geschäftlichen Handlung ergebe sich jeweils unmittelbar
aus den Umständen (§ 5a Abs. 6 UWG), weil er für einen Verbraucher auf den
ersten Blick erkennbar sei. Bei einem für alle Nutzer zugänglichen
Instagram-Account mit rund 1,7 Abonnenten und professionell gestalteten
Postings mit rund 50.000 likes sei jedem Verbraucher unmittelbar bewusst, dass
es sich einen öffentlichen Auftritt der Beklagten handle, über den
Influencer-Marketing verbreitet werde.“
Das OLG Hamburg weicht mit dieser Entscheidung von der Rechtsprechung anderer Obergerichte ab, weswegen die Revision zugelassen wurde, über die der BGH zu entscheiden hätte.
_____________________________________________________
Zustimmung zu Cookies im Internet darf nicht voreingestellt sein
„Wer auf Internetseiten Cookies setzen will, braucht in jedem Fall die aktive Zustimmung des Nutzers.“
Der Bundesgerichtshof (BGH) hat entschieden, dass Nutzer dem Setzen von Cookies im Internet aktiv zustimmen müssen. Unzulässig ist die Voreinstellung, ein voreingestellter Haken im Feld zur Cookie-Einwilligung, durch den Anbieter von Angeboten.
Das deutsche Telemediengesetz wurde nach den Vorgaben der seit 2018 geltenden EU-Datenschutzverordnung ausgelegt.
Der Fall Planet49:
In diesem Fall geht es um Online-Gewinnspiele des Unternehmens Planet49. Die Verbraucherzentrale Bundesverband klagte gegen Planet49, da auf der Anmeldeseite des Gewinnspiels ein Kästchen vorhanden vor, bei dem bereits ein Haken für die Zustimmung in das Setzen von Cookies eingetragen war. Die Verbraucherzentrale hielt das Vorgehen von Planet49 für unzulässig.
Der Europäische Gerichtshof wurde vom Bundesgerichtshof gebeten, die Auslegung der EU-Datenschutzvorschriften vorzunehmen. Gemäss Luxemburger EuGH-Richter wird die Einwilligung in das Setzen von Cookies durch das Vorgehen bei dem Planet49-Gewinnspiel nicht wirksam erteilt. Die Nutzer sollen vor jedem Eingriff in ihre Privatsphäre geschützt werden. „Die Teilnahme an einem Gewinnspiel durch Betätigung einer Schaltfläche stelle keine wirksame Einwilligung in die Speicherung von Cookies dar.“
Der eco –
Verband der Internetwirtschaft begrüsst dieses Urteil. Seit dem Inkrafttreten
der DSGVO haben sich die Anforderungen an eine Einwilligung nochmals verändert.
Die Einwilligung muss ausdrücklich erfolgen.
_____________________________________________________
Quelle: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBGEL:2020:2521
Das niederländische Bezirksgericht Gelderland hat entschieden, dass die Grossmutter auf Antrag der Mutter des Kindes ein Bild ihres minderjährigen Enkels aus ihren Facebook- und Pinterest-Accounts entfernen muss.
Die Ansprüche wurden vom Gericht gemäss Verordnung 2016/679 (der allgemeinen Datenschutzverordnung oder GDPR) bewertet. Das Urheberrecht wurde nicht angewendet, da keine der Parteien die Urheberschaft an den Bildern beanspruchte.
Das Bezirksgericht stellte fest, dass nicht nachgewiesen wurde, dass die Seiten der Grossmmutter für die allgemeine Öffentlichkeit unzugänglich sind. Es bleibt somit unklar, ob man die Bilder auch über Google finden könnte.
Im Falle von Facebook kann nicht ausgeschlossen werden, dass die veröffentlichten Bilder von Dritten verbreitet und heruntergeladen werden können.
_____________________________________________________
Quelle: https://drive.google.com/file/d/1fICXafahdDOue6FoBx6VAlEgQoCj7OPn/view
Der oberste Gerichtshof Italiens hat entschieden (Urteil vom 6. Februar 2020 – 780/2020), dass die Anordnung der KIKO-Konzeptläden – insbesondere die Art und Weise, wie die verschiedenen Elemente, die zur Einrichtung solcher Läden verwendet werden, kombiniert, koordiniert und zusammengesetzt werden – nach Art. 2 Nr. 5 des italienischen Urheberrechtsgesetzes als architektonischer Plan schutzfähig ist.
Der Oberste Gerichtshof vertritt die Auffassung, dass Urheberrecht und Designschutz gleichzeitig bestehen können. Sie können aber auch unterschiedliche Ziele verfolgen und unterschiedlichen Anforderungen unterliegen. Des Weiteren bestätigt der Oberste Gerichtshof Italiens die EuGH-Entscheidung, dass „das Fortbestehen der Originalität, wie es das Urheberrecht verlangt, d.h. das Fortbestehen einer wohldefinierten und schöpferischen Ausdrucksform, die die freien Entscheidungen und die Persönlichkeit ihres Urhebers widerspiegelt, nicht auch bedeutet, dass sie aus ästhetischer Sicht eine visuell relevante Wirkung erzeugt, wie sie stattdessen für den Schutz als Geschmacksmuster erforderlich ist."
Folgendes Rechtsprinzip wurde vom Obersten Gerichtshof Italiens abgeleitet: Gemäss Art. 2 Nr. 5 des italienischen Urheberrechtsgesetzes ist ein Innenarchitekturplan oder ein Werk, das ein einheitliches Projekt widerspiegelt, als architektonisches Werk schutzfähig.
Um durch das Urheberrecht schutzfähig zu sein, muss ein architektonischer Plan oder ein Werk
• immer identifizierbar und
• erkennbar unter dem Gesichtspunkt seines formalen Ausdrucks als ein eigenes, einheitliches Werk des Autors, das aus präzisen Entscheidungen über die Zusammensetzung der verschiedenen Elemente besteht (z.B. die Farben der Wände, besondere Lichteffekte, die konsequente Wiederholung von Dekorationselementen, die Verwendung bestimmter Materialien, die Größe und Proportionen).
_____________________________________________________
Quelle: Zeitschrift Datenschutz-Berater DSB 04/2020, S. 81
Der Generalanwalt (GA) Szpunar hat im Rahmen der am 4. März 2020 veröffentlichten Schlussanträge in der EuGH Rechtssache C-61/19 seine Interpretation zu den Anforderungen an eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO dargelegt.
Die Anforderungen an eine Informiertheit der betroffenen Person sind sehr hoch. Es muss der betroffenen Person eindeutig und unmissverständlich klar gemacht werden, dass eine Verweigerung der Einwilligung unter Umständen nicht die parallele Erfüllung eines Vertrages unmöglich werden lässt.
Nach Ansicht des GA muss der Informationstext folgende Angaben enthalten:
alle die Datenverarbeitung betreffenden Umstände;
deren Folgen betreffenden Umstände;
welche Daten verarbeitet werden;
wie lange die Verarbeitung andauert;
in welcher Weise sie erfolgt;
zu welchem spezifischen Zweck sie erfolgt,
wer die Daten verarbeitet;
ob die Daten dazu bestimmt sind, an Dritte übermittelt zu werden;
welche Folgen es hat, wenn die Einwilligung verweigert wird.
_____________________________________________________
Quelle: Zeitschrift Datenschutz-Berater DSB 04/2020, S. 80
Eine betroffene Person hat keinen Anspruch auf Löschung ihrer Daten, wenn ein Ermittlungsverfahren eingestellt wurde, aber noch Verjährungsfristen laufen.
Das Bayerische Oberste Landesgericht hat bezüglich der Löschung von Daten nach Einstellung von Verfahren entschieden, dass eine betroffene Person keinen Anspruch auf Löschung ihrer Daten hat, obwohl ein Ermittlungsverfahren eingestellt wurde. Der Grund dafür: Die Verjährungsfristen laufen noch.
Die Staatsanwaltschaft kann, nach Ansicht des Gerichts, den zutreffenden Tatvorwurf speichern, solange ein Ermittlungsverfahren nicht verjährt ist.
_____________________________________________________
Quelle: Zeitschrift Datenschutz-Berater DSB 04/2020, S. 80
Aus dem Löschanspruch aus Art. 17 DSGVO ergibt sich kein Recht auf „Bereinigung“ einer Schülerakte.
Das Verwaltungsgericht Berlin (Beschluss vom 28.2.2020, VG 3 L 1028.19) hat entschei- den, dass kein Recht auf „Bereinigung“ einer Schülerakte nach Art. 17 DSGVO besteht.
Im vorliegenden Fall besuchte der Schüler ab dem Schuljahr 2018/2019 ein Gymnasium in Berlin, welches er nach einem Gewaltvorfall verliess. Das Probejahr bestand er nicht. Die achte Jahrgangsstufte besuchte der Schüler in einer anderen Berliner Schule, wobei es zu zahlreichen, in seiner Schülerakte dokumentierten Vorfällen kam.
_____________________________________________________
Quelle: Zeitschrift Datenschutz-Berater DSB 04/2020, S. 80
Der Lotterieveranstalter wurde zur Zahlung eines Schadenersatzes verurteilt, weil der vollständige Vor- und Nachnamen des Gewinners veröffentlicht wurde.
Das Unternehmen hatte den vollständigen Vor- und Nachnamen eines Gewinners, der einen sechsstelligen Betrag aus der Lotterie gewonnen hatte, veröffentlicht. Vereinbart wurde, dass nur der Vorname bekannt gemacht wird.
Diesbezüglich hat das Landgericht Köln (LG Köln, 23.12.2019 – 28 O 482/19) einen Lot-
terieveranstalter zur Zahlung eines Schadenersatzes in Höhe von EUR 8‘000.00 verur-
teilt. Es lag eine eindeutige Identifizierbarkeit aufgrund der Seltenheit des Nachnamens
vor. Der Betroffene klagte hiergegen.
_____________________________________________________
Das LG Hamburg hat entschieden (Urteil vom 13.02.2020, 312 O 372/18), dass Facebook eine automatisch und ohne Zustimmung des jeweiligen Unternehmens bzw. Betroffenen generierte Facebook-Seite löschen muss.
Im vorliegenden Fall streiten die Parteien wegen
der von der Beklagten (Beklagte betreibt auf www.facebook.com
eines der grössten Netzwerke der Welt) erstellten Profilseiten über die Klägerin.
Bei der Klägerin handelt es sich um eine in Hamburg tätige
Rechtsanwaltskanzlei, die auf Urheber- und Medienrecht sowie den gewerblichen
Rechtsschutz spezialisiert ist.
Am 19.1.2018 wurde von der Klägerin bemerkt, dass ohne
ihre Einwilligung auf www.facebook.com
Profile mit ihren Namen eingerichtet worden waren. Bei dieser Seite handelt es
sich um eine sogenannte nicht-verwaltete Seiten, die automatisch von der
Beklagten generiert werden, wenn ein Unternehmen nicht über ein Facebook-Profil
verfügt und ein Nutzer das Unternehmen dort sucht. Die Angaben beruhen auf
öffentlich zugänglichen Informationen.
Die Klägerin vertritt die Meinung, dass die
Beklagte die geschäftliche Bezeichnung der Klägerin zur Bezeichnung eines Profils
auf ihrer Plattform ähnlich zu einer für die Klägerin registrierten Domain
benutze. Hierdurch entstehe ein Eindruck, dass das Profil von der Klägerin
stamme. Die Klägerin störte es, dass der Eindruck entstehe, die Profilseite
stamme von ihr. Der Hinweis „inoffizielle Seite“ vermöge daran nichts zu ändern,
da der Hinweis nur klein und in grau auf hellgrauem Hintergrund gehalten sei. Es
bestehe somit eine Verwechslungsgefahr.
Die Klägerin erhob einen Unterlassungsanspruch nach
§§ 5, 15 MarkenG. In § 5 MarkenG wird u.a. allgemein der Schutz der
Unternehmenskennzeichen und in § 15 der Unterlassungs- und
Schadenersatzanspruch bei Zuwiderhandeln gegen
das Exklusivrecht des Inhabers einer geschäftlichen Bezeichnung.
Das LG Hamburg bejahte den Unterlassungsanspruch. Die Gestaltung des Profils stellt einen rechtswidrigen Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb der Klägerin dar.
Es wurden durch die von der Beklagten generierten Profilseiten über die
Klägerin schutzwürdige Interessen der Klägerin verletzt. Die Klägerin müsste
sich bezüglich des unvollständigen Profils im Hinblick auf ihre berufliche Tätigkeit
erklären.
Zunächst besteht ein betriebsbezogener Eingriff
aufgrund der Verwechslungsgefahr zwischen dem streitgegenständlichen Profil und
einer von der Klägerin erstellten Profilseite. Als einziges Rechtsgebiet wurde
auf dem Profil „Arbeitsrecht“ angegeben. Somit liegt klar ein betriebsbezogener
Eingriff, da die Klägerin auf das Urheber- und Medienrecht sowie den
gewerblichen Rechtsschutz spezialisiert ist. Der Verkehr wird somit über eine
wesentliche Tatsache, nämlich das Tätigkeitsfeld der Klägerin, in die Irre geführt.
Potentielle Mandanten im Bereich des gewerblichen Rechtsschutzes und im Urheber-
und Medienrecht können davon abgehalten werden, die Mandatierung der Klägerin
in Betracht zu ziehen, wenn als Tätigkeitsgebiet nur Arbeitsrecht angegeben
ist.
Die Behinderung der Erwerbstätigkeit ist nur dann
rechtswidrig, wenn das Schutzinteresse des Betroffenen die schutzwürdigen
Belange der anderen Seite überwiegt. Die danach vorzunehmende Interessen- und
Güterabwägung fällt im Streitfall zugunsten der Klägerin aus.
________________________________________________________
Am 5.11.2019 wurde ein Bussgeldentscheid durch die Berliner Datenschutzbehörde erlassen. Die Aufsichtsbehörde hat festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen.
Am 30.10.2019 wurde gegen die Deutsche Wohnen SE ein Bussgeldentscheid von rund 14.5 Mio. Euro wegen Verstössen gegen die DSGVO erlassen.
Die personenbezogene Daten von Mieterinnen und Mietern wurden, ohne zu überprüfen, ob eine Speicherung zulässig ist, gespeichert. Es handelt sich hierbei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge. Die fehlende Löschfunktionalität führt zu einer Verletzung der DSGVO.
Diesbezüglich war eine Verhängung eines Bussgeldes wegen eines Verstösses gegen Art. 25 Abs. 1 DSGVO sowie Art. 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019 zwingend. Die Aufsichtsbehörde wird von der Datenschutz-Grundverordnung verpflichtet, sicherzustellen, dass Bussgelder nicht nur wirksam und verhältnismässig, sondern auch abschreckend sind.
Für die Bemessung von Geldbussen ist der weltweit erzielte Vorjahresumsatz als Anknüpfungspunkt zu berücksichtigen. Für die konkrete Bestimmung der Bussgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen.
Die Berliner Datenschutzbeauftragte erteilte dem Unternehmen neben dieser Sanktionierung noch weitere Bussgelder zwischen 6‘000 – 17‘000 Euro wegen der unzulässiger Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.
Der Entscheid ist bisher
noch nicht rechtskräftig. Dagegen kann Einspruch erhoben werden.
________________________________________________________
Quelle: https://datenrecht.ch/bfdi-busse-von-eur-9-5-mio-gegen-einen-telecom-provider/
Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH eine Busse von EUR 9.55 Mio. verhängt.
Der BfDI hatte Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch die Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. Diesbezüglich sieht der BfDI einen Verstoss gegen Art. 32 DSGVO, wobei Unternehmen verpflichtet sind, geeignete technische und organisatorische Massnahmen zu ergreifen, damit die Verarbeitung von personenbezogenen Daten systematisch geschützt werden kann.
Im vorliegenden Fall hatte das Unternehmen keine hinreichenden technisch-organisatorischen Massnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.
________________________________________________________
Quelle: https://www.heise.de/newsticker/meldung/E-Privacy-EU-Staaten-lassen-Verordnung-scheitern-Kommission-will-Neustart-4603164.html
Die Verhandlungen zur E-Privacy-Verordnung sind nach knapp drei Jahren im Ministerrat in einer Sackgasse gelandet. Die Kommission will neu beginnen. Der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (Coreper) hatte am 22. November 2019 den Kompromissvorschlag der finnischen Ratspräsidentschaft zurückgewiesen. Die Differenzen zwischen den EU-Staaten sind kaum überwindbar.
Eine eigene E-Privacy-Verordnung wurde von mehreren Regierungsvertretern infrage gestellt. Ursprünglich sollte das Gesetz nach dem Willen der EU-Kommission bereits im Mai 2018 parallel mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Das Dossier betreffend Regeln für Nutzer-Tracking etwa für zielgerichtete Werbung, das Setzen von Cookies und dem Umgang mit Metadaten wie Verbindungs- oder Standortinformationen war schon damals unter den Mitgliedstaaten zu sehr umkämpft.
Finnland hatte versucht, einen gemeinsamen Nenner zu finden. Zu den Optionen gehörten eine Vorratsdatenspeicherung oder Tracking durch Nachrichtenseiten ohne Zustimmung. Mehrere Staaten wie Deutschland oder Polen waren der Ansicht, dass der finnische Ansatz Innovationen in der datengetriebenen Wirtschaft behindern könnte. Österreich vertritt dieselbe Meinung. Dänemark, Spanien und Slowenien stellten sich hinter den Text aus Finnland und bedauerten, dass im Rat keine Einigung möglich war.
Thierry Breton, der EU-Kommissar für Binnenmarkt und Industrie kündigte an, einen ganz neuen Gesetzesentwurf vorlegen zu wollen. Die Kommission hatte den ersten Aufschlag Anfang 2017 gemacht. Das EU-Parlament wollte die Initiative vor zwei Jahren verschärfen und sprach sich für Tracking nur mit explizitem Opt-in der Nutzer aus.
Frühestens 2020 ist mit einem neuen Kommissionspapier zu rechnen. Bis dahin sind vor allem die Regelungen und Vorgaben aus der DSGVO anwendbar und entscheiden, die jedoch im Bereich der elektronischen Kommunikation lückenhaft sind.
________________________________________________________
Quelle: https://datenrecht.ch/spk-sr-beratungen-abgeschlossen/
https://www.parlament.ch/press-releases/Pages/mm-spk-s-2019-11-20.aspx
Die Detailberatung der Vorlage für ein neues Datenschutzgesetz wurde von der Staatspolitischen Kommission des Ständerates (SPK-SR) abgeschlossen. Die Vorlage ist in der Gesamtabstimmung von der SPK-SR einstimmig angenommen worden und anschliessend an ihren Rat überwiesen, der sie somit in der Wintersession vom 2. bis 20. Dezember 2019 beraten kann.
In der Herbstsession 2019 wurde die Vorlage für ein neues Datenschutzgesetzes im Nationalrat beraten und kam danach in die SPK-SR.
Die SPK-SR folgte im Wesentlichen den Anträgen des Nationalrates. Doch in einigen Punkten werden Verschärfungen bzw. Erleichterungen vorgesehen. Die SPK-SR will den Begriff Profiling mit hohem Risiko explizit ins Gesetz aufnehmen. Unter diesem Begriff versteht die SPK-SR ein Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, nämlich bei der systematischen Verknüpfung gewisser Merkmale einer Person, welche verschiedene Lebensbereiche einer natürlichen Person betreffen und bei einer systematischen und umfangreichen Bearbeitung von Daten, um Rückschlüsse auf verschiedene Lebensbereiche einer Person zu ziehen.
Weiter hat die SPK-SR vorgesehen, dass eine Verletzung der Datensicherheit nur dann vorliegen soll, wenn diese dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden. Der Bundesrat hingegen wollte in jedem Fall, in welchem Personendaten in der umschriebenen Weise bearbeitet werden, eine Verletzung statuieren. Folgend soll die Einwilligung in Bezug auf ein Profiling nur bei einem solchen mit hohem Risiko ausdrücklich erfolgen.
Der Mindestinhalt im Rahmen der Informationspflicht ist auszuweiten und um eine Liste der Betroffenenrechte sowie die allfällige Absicht, Personen zur Bonitätsprüfung verwenden zu wollen, zu ergänzen. Die SPK-SR ist der Ansicht, dass die Rechte jener Personen, die einer Bonitätsprüfung unterzogen werden, gestärkt werden müssen. In diesem Sinne hat sie einstimmig die Bearbeitung von Daten eingeschränkt, die älter als fünf Jahre sind oder Minderjährige betreffen. Bezüglich des Auskunftsrechtes folgt die SPK-SR dem Bundesrat und lässt den Vorschlag des Nationalrates fallen, wonach ausschliesslich die Informationen mitzuteilen sind, welche die betroffene Person zur Geltendmachung ihrer Betroffenenrechte benötigt. Die SPK-SR hat einstimmig beschlossen, die Daten über gewerkschaftliche Ansichten oder Tätigkeiten wieder in die Liste der besonders schützenswerten Personendaten (Art. 4 Bst. c Ziff. 1 E-DSG) aufzunehmen und damit eine Differenz zum EU-Recht zu vermeiden. Zudem hat die SPK-SR beschlossen, die Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand aufzuheben, die vom Nationalrat eingeführt worden war.
Hinsichtlich eines Konzernprivilegs erfährt der Vorschlag der SPK-SR eine Neuerung. Die Einschränkung der Betroffenenrechte soll sowohl bei der Informationspflicht als auch beim Auskunftsrecht nur möglich sein, wenn Personendaten nicht Dritten bekannt gegeben werden. Die Datenflüsse zwischen Unternehmen, welche von derselben juristischen Person kontrolliert werden, sind davon ausgenommen. In einem solchen Fall ist eine Einschränkung zulässig. Als Rechtfertigungsgrund soll ein überwiegendes privates Interesse im Zusammenhang mit Datenbearbeitungen zur Stärkung der Wettbewerbsposition nur dann gelten, wenn die Daten nicht Dritten bekannt gegeben werden. Die konzerninterne Datenflüsse sind davon ausgenommen, ergo greift das überwiegende Interesse als Rechtfertigungsgrund.
Die SPK-SR will neu Verschärfungen bei Persönlichkeitsverletzungen und Rechtfertigungsgründen einführen. In jedem Fall, in welchem Personendaten Dritten bekanntgegeben werden, ist eine Persönlichkeitsverletzung anzunehmen. Die Bekanntgabe an Dritte soll jedoch nur mit ausdrücklicher Genehmigung der betroffenen Person erfolgen.
Eine Verletzung der Mindestanforderungen an die Datensicherheit soll entgegen dem Antrag des Nationalrates und gemäss ursprünglichem Vorschlag des Bundesrates sanktioniert werden können.
Zusammenfassend ist die Einführung des faktischen Konzernprivilegs und
die damit einhergehende massive Verschärfung in Bezug auf Datenbekanntgaben an
Dritte als wesentliche Neuerung. Es bleibt abzuwarten, ob die kleine Kammer
diesen Anträgen tatsächlich folgen wird. Die SPK-SR verfolgt mit ihren
Beschlüssen in erster Linie zwei Ziele: Die Schweizer Bürgerinnen und Bürger
sowie Konsumentinnen und Konsumenten sollen im Zeitalter der Digitalisierung
weiterhin über ein hohes Schutzniveau ihrer Daten verfügen, das im Vergleich
zum geltenden Recht nicht herabgesetzt werden darf. Der Schutzstandard soll mit
jenem vereinbar sein, der im einschlägigen EU-Recht vorgesehen ist, damit von
einer Anerkennung der Äquivalenz des Schweizer Datenschutzrechts durch die EU
ausgegangen werden kann.
__________________________________________________________________
Interne Verfasserin: MLaw Milica Stefanovic
In der Entscheidung vom 22. August 2019 hat die österreichische Datenschutzbehörde gegen ein Unternehmen mit Sitz in der Schweiz eine Anordnung wegen Verletzung der DSGVO erlassen (Entscheidung vom 22. August 2019, PDF). Das betroffene Unternehmen erbrachte Dienstleistungen in Österreich und betrieb dort auch Hotels sowie eine Website mit der Länderdomain .at. Im vorliegenden Fall war der Ausgangspunkt eine Werbe-E-Mail, nachdem es nach Kontakten nicht zu einer Buchung gekommen war.
Der schweizerische
Verantwortliche hatte Personendaten über ein Kontaktformular erfasst, weshalb
Art. 13 DSVO zur Anwendung kam. Die Datenschutzbehörde sah Art. 3 Abs. 2 lit. a
DSGVO als erfüllt. Der Verantwortliche hatte den Betroffenen nicht darauf
hingewiesen, dass die erforderlichen Angaben auf einer Website verfügbar waren.
Hiermit war die Informationspflicht verletzt. Die Angabe eines „Datenschutzverantwortlichen“
war ungenügend, da die DSGVO diesen Begriff nicht kennt. Diesbezüglich seien
die Angaben nicht ausreichend gewesen. Die fehlenden Informationen sind nach
der Anordnung der Behörde binnen vier Wochen einzureichen.
__________________________________________________________________
Quelle: https://datenrecht.ch/polnische-aufsichtsbehoerde-busse-betr-widerruf-von-einwilligungen/
Gegen einen Marketingdienstleister wurde von der polnischen Aufsichtsbehörde ein Bussgeld von umgerechnet CHF 50'000 verhängt. Der Grund für die Busse war die vorsätzliche Unterlassung von angemessenen Massnahmen, um den Widerruf der Einwilligung nach Art. 7 DSGVO und das Recht auf Löschung nach Art 12 und 17 DSGVO zu ermöglichen.
Die Informationen dazu waren irreführend und ein Widerruf war nur mit Angabe einer Begründung möglich, was unzulässig sei.
__________________________________________________________________
Quelle: https://datenrecht.ch/spanische-aufsichtsbehoerde-leitfaden-zu-privacy-by-design/
Ein Leitfaden zu Privacy by Design wurde von der spanischen Aufsichtsbehörde veröffentlicht (https://www.aepd.es/media/guias/guia-privacidad-desde-diseno_en.pdf). Die Behörde geht von den folgenden Grundsätzen bzw. «foundational principles» aus:
1. Proactive not Reactive; Preventative not Remedial
2. Privacy as the Default Setting
3. Privacy Embedded into Design
4. Full Functionality: Positive-Sum, not Zero-Sum
5. End-to-End Security: Full Lifecycle Protection
6. Visibility and Transparency: Keep it Open
7. Respect for User Privacy: Keep it User-Centric
Die Behörde hält anschliessend fest, dass die Pflicht zu Privacy by Design den Verantwortlichen, nicht den Dienstleister betrifft. Die Dienstleister sind indirekt betroffen, indem ihre Kunden für deren Compliance auf entsprechend ausgestaltete Produkte angewiesen sein können.
Im zweiten Teil des Leitfadens werden die datenschutzrechtlichen Anforderungen an die Gestaltung von Datenverarbeitungssystemen erläutert. Diesbezüglich werden die datenschutzrechtlichen Grundsätze in drei übergeordnete Schutzziele eingeordnet:
Die Schutzziele, Integrität, Vertraulichkeit und Verfügbarkeit, sind enthalten, weil die Datensicherheit ein datenschutzrechtliches Gebot ist. Die Einteilung der Behörde ist nicht neu, da sie sich zum Teil mit dem deutschen Standard-Datenschutzmodell (SDM), mit dem die Einhaltung der datenschutzrechtlichen Anforderungen systematisch überprüfbar wird, deckt. Das Konzept der Schutzziele wurde im Jahr 2019 von der deutschen Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSBK) verabschiedet. Erst 2015 wurde das SDM in Form eines Handbuchs veröffentlicht.
Die aktuelle Version 2.0 wurde von der 98. Konferenz der DSBK vom 5. bis 7. November 2019 beschlossen (https://www.datenschutzzentrum.de/uploads/sdm/SDM-Methode.pdf).
__________________________________________________________________
https://www.vienna.at/datenskandal-18-millionen-euro-strafe-fuer-die-post/6406717
Die neue Datenschutzverordnung (DSGVO) trat im Mai 2018 in Kraft. Bei Verstössen gegen die DSGVO kann es zu Bussgeldzahlungen kommen. Bislang wusste aber niemand genau, in welchem Bereich eine individuelle Geldbusse liegt. Am 14. Oktober 2019 haben sich die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf ein einheitliches Verfahren zur zukünftigen Bussgeldzumessung gegenüber Unternehmen verständigt.
Durch das einheitliche Verfahren soll eine transparente und einzelfallgerechte Form der Bussgeldzumessung garantiert werden. Die Bussgeldbemessung erfolgt in drei Schritten:
1. Wirtschaftlicher Grundwert: Anhand einer Tabelle und auf Basis des weltweit erzielten Vorjahresumsatzes des Unternehmens wird der wirtschaftliche Grundwert ermittelt. Dabei sind die verschiedenen Grössenklassen A,B,C und D zu berücksichtigen, angefangen vom Kleinstunternehmen über kleine und mittlere Firmen bis hin zu grossen Unternehmen. Die kleinste Kategorie ist A.I und beinhaltet Firmen mit einem Jahresumsatz von bis zu 700.000 Euro. Die grösste Klasse ist D.VII mit einem Jahresumsatz von über 500 Millionen Euro. (Tabelle: https://digital.internetworld.de/wp/oracle/spreadsheet/)
2. Multiplikationsfaktor: An den ermittelten wirtschaftlichen Grundwert wird ein Multiplikationsfaktor angelegt. Der Faktor bemisst sich an der Art, Schwere und Dauer des Verstosses. Bei formellen Verstössen, wie fehlende Vereinbarung über eine Auftragsverarbeitung, wird der Faktor einen Wert zwischen eins und sechs haben. Bei einem materiellen Verstoss, wie unzureichende Umsetzung von Betroffenenrechte, kann sich der Faktor bis auf den Wert 12 erhöhen. Bei einem sehr schweren Verstoss liegt der Wert bei 14,4 (vier Prozent des Jahresumsatzes).
3. Individuelle Anpassung: Der berechnete Betrag wird dann unter Berücksichtigung aller sonstigen Umstände, wie täterbezogene Kriterien, für den Einzelfall angepasst. Die lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens ist auch zu berücksichtigen.
In Zukunft muss man auf Basis dieses Models mit weitaus höheren Sanktionen rechnen. Die Datenschutzkanzlei Herting Oberbeck skizziert zwei Beispielsfälle:
"Ein Unternehmen hat einen Jahresumsatz von 800.000 Euro (Grundwert: 2.917 Euro). Das Unternehmen beschäftigt verschiedene Auftragsverarbeiter, ohne mit diesen die erforderlichen Verträge abgeschlossen zu haben. Dies könnte als Verstoß gegen formelle Vorgaben mit einem Faktor von vier bewertet werden. Damit würde sich vor einer gegebenenfalls vorzunehmenden Anpassung im Einzelfall ein Bußgeld in Höhe von 11.668 Euro ergeben“.
"Ein Unternehmen mit einem Jahresumsatz von 28.000.000 Euro (Grundwert: 76.389 Euro) erhebt Daten auf Grundlage einer unwirksamen Einwilligung. Da dies einen Verstoß gegen materielle Vorgaben darstellt, könnte hier ein Faktor von sechs angelegt werden. Ausgangsbetrag des zu verhängenden Bußgeldes wären damit bereits 458.334 Euro."
Die Gerichte sind nicht an diese Berechnung gebunden, da es sich bislang nur um die Grundlage für die Berechnung von Bussgeldern durch die Datenschutzbehörden handelt. Das Modell gilt nur für Unternehmen in Deutschland und nicht für einen gemeinnützigen Verein. Die Berechnung soll gelten, bis der Europäische Datenschutzausschluss endgültige Leitlinien erlassen hat.
Datenskandal: 18 Millionen Euro Strafe für die Post: Ein aktuelles Beispiel hierfür ist die Österreichische Post, die nach Datenskandal 18 Millionen Euro Strafe zu zahlen hat. Dies teilte die Datenschutzbehörde am Dienstag, 29.10.2019, nach Durchführung eines ordentliches Verwaltungsstrafverfahrens mit Straferkenntnis vom 23. Oktober 2019, mit. Die Rechercheplattform Addendum hatte im Januar berichtet, die Österreichische Post verkaufe Datensätze von rund drei Millionen Kunden mit Namen, Adresse, Alter und Geschlecht an andere Unternehmen für Marketingzwecke. Die Weitergabe von Daten hat für die Post weitreichende Folgen. Die Datenschutzbehörde hat die Post zu einer Zahlung verurteilt, doch das Straferkenntnis ist noch nicht rechtskräftig. Die Post will dagegen Berufung einreichen, da es sich ihrer Ansicht nach bei den Prognosen um statistische Hochrechnungen und nicht um tatsächliche Daten handelt und die Daten schon gelöscht sind. Gemäss der Datenschutzverordnung liege eine Rechtsverletzung vor, wenn die Post statistische Wahrscheinlichkeiten über die Parteiaffinität erstelle. Die Rechtsverletzungen wurden rechtswidrig und schuldhaft begangen, weshalb die Verwaltungsstrafe in oben genannter Höhe angemessen war, um andere bzw. gleichartige Rechtsverletzungen hintanzuhalten. Die Strafe der Datenschutzbehörde gegen die Österreichische Post zählt zu den höchsten Geldbussen der EU. Seit Inkrafttreten der DSGVO habe es nur drei höhere Strafen gegeben, 205 Mio. Euro gegen British Airways, 110 Mio. Euro gegen Marriott und 50 Mio. Euro gegen Google. Die Strafhöhe von 18 Mio. Euro lasse sich durch die hohe Anzahl der Betroffener sowie den Umsatz der Post erklären.
Deutsche Wohnen verstösst gegen die DSGVO: Am 5.11.2019 hat ausserdem die Berliner Datenschutzbeauftragte ein Bussgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen verhängt. Es soll ein Verstoss gegen die DSGVO vorliegen, in dem die Wohnungsgesellschaft mit Sitz in Berlin widerrechtlich Daten von Mieterinnen und Mieter gesammelt und archiviert haben soll, was gegen die Vorgaben der DSGVO verstosse. Die Bussgeldentscheidung ist noch nicht rechtskräftig. Die Aufsichtsbehörde hat im Juni 2017 und im März 2019 ein unzulässiges Archivsystem vorgefunden, welches zur Speicherung personenbezogener Daten von Mieterinnen und Mieter eingesetzt wurde. Das Archivsystem wurde trotz Empfehlung von der Datenschutzbeauftragte nicht überarbeitet. Die Höhe der Strafe richtet sich unter anderem am Umsatz des jeweils betroffenen Unternehmens aus. Im Fall der Deutsche Wohnen, die für 2018 einen Jahresumsatz von über einer Milliarde Euro ausgewiesen hatte, belaufe sich die Bussgeldbemessung auf etwa 28 Millionen Euro. Von der maximalen Bussgeldhöhe ist der behandelte Verstoss demnach noch weit entfernt.
Quelle: https://www.srf.ch/news/schweiz/urteil-zu-dashcams-absage-an-hilfs-sheriffs-und-dauerfilmer-im-strassenverkehr?wt_mc_o=srf.share.app.srf-app.email
Das Urteil setzt Schranken für die Verwendung von Dashcam-Bildern und zeigt: Die Verkehrskontrolle obliegt dem Staat. Ein grosses Interesse bestehe in der Gesellschaft, nicht beliebig oder ständig überwacht zu werden in der Öffentlichkeit. Die Haltung des Eidgenössischen Datenschutzbeauftragten wird von der bundesgerichtlichen Feststellung gestützt.
Im vorliegenden Fall überholte eine Autolenkerin auf der A51 bei Bülach ein anderes Auto, fuhr rechts vorbei und wechselte knapp vor dem anderen Auto wieder auf die Überholspur. Dies geschah alles in einem Baustellenbereich. Der überholte Autolenker hatte eine Dashcam hinter der Windschutzscheibe befestigt.
Die Frau wurde angezeigt und die Zürcher Justiz verurteilte sie zu einer bedingten Geldstrafe und einer Busse. Die Verwertung der Bilder war bereits bei dieser Verurteilung heikel. Die Zürcher Justiz sah es als Persönlichkeitsverletzung an, dass die Beschuldigte gefilmt wurde. Doch das Interesse des Staates, den Verdacht gegen die Beschuldigte zu klären, überwiegte in diesem konkreten Fall. Das Zürcher Obergericht hielt somit fest, dass die Aufnahme verwertbar ist.
Das Urteil des Zürcher Obergerichts wurde vom Bundesgericht aufgehoben. Bei der Tathandlung handle es sich um keine schwere Straftat und Dashcam-Aufnahmen dürften nur bei schweren Straftaten angewendet werden.
Der Eidgenössische Datenschutzbeauftragter hat seit längerem auf einem Merkblatt zu Dashcams festgehalten, dass die Aufnahmen von Dashcams weder zur Unterhaltung noch als Beweismittel in Bagatellfällen, wie beispielsweise alltägliche, riskante Manöver im Strassenverkehr, herangezogen werden sollten.
Das Bundesgerichtsurteil gibt Anlass zur Erinnerung, dass es rechtswidrig ist, den Strassenverkehr inklusive Personen und Nummernschildern ständig zu filmen. Es gibt Kameras, die durch Beschleunigungssensoren die Aufnahme auslösen, aber auch diejenige, welche die Bilder nur verschlüsselt speichern oder andere, welche die Bilder laufend löschen oder überschreiben. Diese Aufnahmen können von den Strafverfolgungsbehörden nur dann verwendet werden, wenn der Fall genügend gravierend ist. Ansonsten liegt keine Rechtfertigung für den Eingriff in die Persönlichkeitsrechte der gefilmten Personen vor.
Die Versendung von unverschlüsselten E-Mails betrifft vor allem
Berufsgeheimnisträger, wie z.B. Apotheker, Ärzte und Rechtsanwälte.
Diesbezüglich stellt sich die Frage, ob eine Pflicht zur Versendung von
verschlüsselten E-Mais für Berufsgeheimnisträger besteht.
Der Hamburgische
Beauftragte für Datenschutz und Informationssicherheit setzt sich mit den
Fragen der Verschlüsselung von E-Mails auseinander. Es geht darum, dass
technische und organisatorische Massnahmen bei der Verarbeitung
personenbezogener Daten nicht bzw. nicht ausreichend eingehalten werden, indem
E-Mails, die personenbezogene Daten enthalten, unverschlüsselt versandt werden.
In den berufsrechtlichen Vorschriften BORA und BRAO sind keine
spezialgesetzlichen Regelungen zum Umgang mit personenbezogenen Daten bei der
Versendung von E-Mails ersichtlich. Die Verschwiegenheitspflicht der
Rechtsanwaltschaft ist als Grundpflicht in § 43 a Abs. 2 BRAO und § 2 Abs. 1
BORA geregelt. Eine ausdrückliche Regelung zum technischen und
organisatorischen Umgang bei der Verarbeitung personenbezogener Daten ist nicht
gegeben.
Das
Bundesdatenschutzgesetz kommt hier zur Anwendung, da Rechtsanwälte keine
öffentlichen Stellen sind. Die nicht-öffentlichen Stellen sind gemäss § 9 BDG
verpflichtet, bei der Erhebung, Verarbeitung oder Nutzung personenbezogenen
Daten, die in der Anlage zu § 9 Satz 1 BDSG genannten Anforderungen zu
gewährleisten. Die Anlage zu § 9 Satz 1 Nr. 4 BDSG bestimmt ausdrücklich, dass
personenbezogene Daten bei der elektronischen Übertragung (...) nicht unbefugt
gelesen, kopiert, verändert oder entfernt werden können (…). Eine Massnahme
nach Satz 2 Nummer 2 bi 4 ist insbesondere die Verwendung von dem Stand der
Technik entsprechenden Verschlüsselungsverfahren.
Die zu treffenden
Massnahmen sind einerseits durch Abwägung zwischen Schutzbedarf und anderseits
dem Aufwand festzustellen, das heisst, je höher der Schutzbedarf ist, desto
höher muss auch der Aufwand sein, um die Daten entsprechend vor Zugriffen
Dritter zu schützen. Demzufolge ist ein sicherer Kommunikationskanal nicht nur
für Online-Banking, Online-Shopping und e Government-Dienste, sondern auch für
E-Mail und alle anderen Web-basierten Anwendungen unabdingbar. Personenbezogene
Daten sind durch die Verschlüsselung, als sicherste Möglichkeit, zu schützen.
Die elektronische Übertragung sensibler personenbezogener Daten ohne
Verschlüsselung per E-Mail scheidet aus, auch wenn der Betroffene explizit um
die Übersendung per E-Mail bittet.
Bei den
Verschlüsselungsarten unterscheidet man zwischen Transportverschlüsselung und
der Ende-zu-Ende Verschlüsselung. Die Ende-zu-Ende Verschlüsselung wird aus
datenschutztechnischer Sicht bevorzugt. In
der Schweiz ist diese Art von Verschlüsselung zwischen Mitarbeiter und externen
Personen aufgrund Missbrauchsgefahr (Viren, Verletzung des
Geschäftsgeheimnisses), der Verfügbarkeitsprobleme bei archivierten,
geschäftsrelevanten E-Mails sowie durch die Verhinderung der Geschäftskontrolle
im Firmenumfeld nicht erwünscht. Eine zentrale Appliance im Unternehmen sollte
für Ver- und Entschlüsselungen zuständig sein. (https://www.hin.ch/ueber-hin/hin-welt/hin-und-der-datenschutz/rechtliche-aspekte-der-mail-verschluesselung/ zuletzt besucht am
21.08.2019). Es soll für jedermann im Internet ein „sicherer, vertraulicher und
nachweisbarer Geschäftsverkehr sichergestellt werden“ (§ 1 Abs. 1
De-Mail-Gesetz).
Doch nach dem neuen
geltenden Recht der DSGVO sieht es anders aus. Die europäische Regelung hat zum
Ziel, den Schutz von EU-Bürgern auch durch Dienstleistungserbringer ausserhalb
der EU sicherzustellen (Peter Christian, DSGVO und E-DSG fordern Schweizer
Spitäler, Praxen, Heime und Spitex, in: Jusletter 26. Februar 2018). Es liegt
eine gesetzliche Verankerung der Gewährleistung von Datensicherheit vor und sie
stellt die Bedeutung des technischen und organisatorischen Datenschutzes heraus
(vgl. Art. 5 Abs. 1f und Art. 32 DSGVO). Ein Verstoss gegen
technisch-organisatorische Massnahme wird somit mit Geldbussen sanktioniert
(vgl. Art. 83 DSGVO).
Schliesslich kann
festgehalten werden, dass für Angehörige von Berufsgruppen, die auch einer
strafrechtlich sanktionierten Schweigepflicht nach § 203 StGB unterliegen, die
unverschlüsselten E-Mails ein sehr ungeeignetes Kommunikationsmittel
darstellen.
Der Sächsische Landesdatenschutzbeauftragte hat in seinem aktuellen Tätigkeitsbericht (https://www.saechsdsb.de/images/stories/sdb_inhalt/noeb/taetigkeitsberichte/8-TB-Endfassung-Version-5.pdf) ebenfalls auf die Pflicht zur Verschlüsselung bei E-Mails von Berufsgeheimnisträgern aufmerksam gemacht, wenn diese sensible personenbezogene Daten enthalten. Seines Erachtens nach handelt es sich hierbei, wie ausgeführt, um besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG, die den Anforderungen der Nr. 4 der Anlage zu § 9 BDSG nicht entsprechen würden. Die Verschlüsselung wird oftmals aufgrund des vermeintlich hohen Aufwands und den Kosten nicht in Erwägung gezogen.
In der Schweiz ist der Schutz der Privat- und Geheimsphäre bereits durch Art. 13 der Bundesverfassung gewährleistet, wonach jeder Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten hat. Das schweizerische Strafgesetzbuch regelt wie das deutsche Strafgesetzbuch in Art. 320 ff. StGB die Berufsgeheimnisse. Datenschutzrechtlich ist Art. 35 DSG (vgl. Art. 56 E-DSG auf europäischer Ebene) relevant, betreffend Verletzung der beruflichen Schweigepflicht. Diesbezüglich wird man auf Antrag mit Busse bestraft. Im Gegensatz zu Art. 321 StGB muss man nach Art. 35 DSG keiner bestimmten Berufsgruppe angehören. Aufgrund des Vertrauensverhältnisses zu den Klienten werden Berufsgeheimnisträger gesetzlich und standesrechtlich in die Pflicht genommen. Die Sanktionierung bei der Verletzung des Berufsgeheimnisses kann mit einer Freiheitsstreife von drei Jahren oder mit einer Geldstrafe erfolgen. Nur die vorsätzliche Offenbarung der anvertrauten Geheimnisse wird bestraft. Den Schutz geniessen sowohl die natürlichen wie auch die juristischen Personen. Die E-Mails haben einen mehrfachen Bezug zu Personendaten. Durch die E-Mails werden oft persönliche Informationen versendet. Die Anforderungen für die angemessene Informationssicherheit sind in Art. 7 DSG statuiert. Darauffolgend wird verlangt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Damit die Anforderungen gewährleistet werden, müssen Mitteilungen mit sensiblen personenbezogenen Daten vor ihrer Übermittlung verschlüsselt werden. Sofern solche Daten unverschlüsselt versendet werden, wird die Persönlichkeit der betroffenen Personen verletzt. Solche Persönlichkeitsverletzungen können Schadenersatz- und Genugtuungsansprüche sowie Rufschädigung zur Folge haben. (https://www.hin.ch/ueber-hin/hin-welt/hin-und-der-datenschutz/rechtliche-aspekte-der-mail-verschluesselung/ zuletzt besucht am 21.08.2019)
Die Datenschutzbehörde
Österreich hat mit Beschluss vom 16.11.2018 (Az. DSB-D213.692/001-DSB/2018) entschieden,
dass eine Arztpraxis diverse Pflichten nach der DSGVO verletzt, indem sie unter
anderem mit der von ihr verwendeten Einwilligungserklärung zur
Datenverarbeitung keine gesetzeskonforme Einwilligung zur Verarbeitung von
Patientendaten eingeholt hat und die Einwilligung durch unverschlüsselten
Versand eingeholt hat. Wie bereits erläutert, handelt es sich bei Art. 32 DSGVO
um eine der Datensicherheitsmassnahmen, ob eine Übermittlung in verschlüsselter
oder unverschlüsselter erfolgen soll. Art. 32 DSGVO stellt nach dem Wortlaut
die Sicherheit der Datenverarbeitung als zwingende Pflicht dar, welche darüber
hinaus auch in Art. 5 Abs. 1 lit. f DSGVO als Grundsatz für die Verarbeitung
personenbezogener Daten festgehalten ist. Die Einwilligung zur
Datenverarbeitung darf somit nicht an eine Zustimmung zur unverschlüsselten
Übermittlung von Daten geknüpft sein. Die Verpflichtung zur verschlüsselten
Übermittlung kann nicht mit einer Einwilligungserklärung von betroffenen
Personen umgangen werden. Schliesslich ist die Einwilligung der betroffenen
Personen zur unverschlüsselten Übermittlung von Daten unzulässig und unwirksam.
Die Einwilligung dient nicht dazu, eine Rechtsgrundlage für die
Datenverarbeitung zu schaffen, sondern um von – gegebenfalls erforderlichen –
Datensicherheitsmassnahmen zum Nachteil von Betroffenen abweichen zu können.
Der Beschluss ist mittlerweile rechtskräftig.
Urteil des KG Berlin vom 27.12.2019 - Quelle: https://shopbetreiber-blog.de/2019/07/26/kg-apple-datenschutzrichtlinie-teilweise-rechtswidrig/
Das Berliner KG hat mit Urteil 23 U 196/13 vom 27.12.2018 entschieden, dass zahlreiche Klauseln der von Apple im Jahr 2011 verwendeten Datenschutzrichtlinien gegen die DSGVO verstossen. Im Jahr 2013 hatte bereits das LG Berlin acht Klauseln dieser Datenschutzrichtlinie für unzulässig erklärt. Apple hat diesbezüglich Berufung eingelegt.
Apple hatte sich in der Datenschutzerklärung umfangreiche
Datenverarbeitungsrechte eingeräumt und die vermeintliche Zustimmung des Kunden
durch eine voreingestellte Checkbox eingeholt. Aufgrund dieser Darstellung
ergebe sich, nach der Ansicht der Verbraucherzentrale Bundesverband, für den
Verbraucher der Eindruck, dass die Bestimmungen in den Klauseln Rechtsregeln
enthielten, die Bestandteil des Vertrages werden würden. Diesbezüglich handelt
es sich bei der Datenschutzerklärung um eine unzulässige AGB.
Nach der Bestätigung des KG ist bei den angegriffenen Klauseln um
Allgemeine Geschäftsbedingungen die Rede. Es ist jedoch immer darauf
abzustellen, wie ein objektiver Dritter die Klauseln verstehen würde.
In diesem Fall vermittelt die Überschrift der Klauseln den Eindruck, dass
die enthaltenen Erklärungen Rechtsregeln enthalten und nicht als blosse
Tatsachenmitteilungen zu verstehen sind.
Die Kunden wurden benachteiligt, weil die Klauseln mit der gesetzlichen
Regelung nicht vereinbar und somit gegenüber Apple-Kunden unangemessen waren.
Diesbezüglich musste das KG die DSGVO für die Beurteilung der Unangemessenheit
der Benachteiligung anwenden.
Art. 6 Abs. 1 DSGVO enthält die Voraussetzungen, unter denen die
Datenverarbeitung rechtmässig ist. Bei einer der Klauseln handelt es sich um
die Datenverarbeitung, wo der Kunde Geschenkgutscheine oder Produkte an Freunde
und Bekannte verschickt und dazu seine persönliche Daten wie Name, Adresse,
E-Mail oder Telefonnummer angeben muss. Das Gericht entschied diesbezüglich,
dass die Verarbeitung für die Erfüllung
des Vertrags erforderlich im Sinne des Art. 6 Abs. 1 lit. b DSGVO und damit
rechtmässig sei.
Bei den anderen Klauseln war dieses Erforderlichkeitskriterium nicht
gegeben. Die Rechtmässigkeit konnte somit nur durch die Einwilligung nach Art.
6 Abs. 1 lit. a DSGVO eingeholt werden
Schliesslich lässt sich festhalten, dass die Klauseln der
Apple-Datenschutzrichtlinie unzulässig waren und der Unterlassungsanspruch der
Verbraucherzentrale Bundesverbands begründet war.
__________________________________________________________________
Das KG hat mit Urteil 5 U 185/17 vom 09.11.2018 entschieden, dass Arzneimittel nicht generell vom Widerrufsrecht ausgeschlossen sind.
Das Gesetz kennt in § 312g BGB einige Ausnahmen vom Widerrufsrecht. Der
generelle Ausschluss für Verträge über die Lieferung von Arzneimittel ist im
Gesetz nicht vorgesehen.
In unserem Fall hat die Beklagte (Online Apotheke DocMorris in
Niederlanden) in ihren AGB Medikamente vollständig vom Widerrufsrecht
ausgenommen. Die Klägerin (Verbraucherzentrale Bundesverband) klagte auf
Unterlassung. Schliesslich wurde die Beklagte vom LG Berlin zur Unterlassung
und Zahlung verurteilt.
Die Beklagte ist eine Apotheke mit Erlaubnis zum Versand
apothekenpflichtiger Arzneimittel nach § 11a des Apothekengesetzes. Die Einfuhr
muss somit nach § 73 Abs. 1 Nr. 1a AMG den deutschen Vorschriften entsprechen.
Die Beklagte berief sich demzufolge auf einen ungerechtfertigten Eingriff in
die europäische Warenverkehrsfreiheit.
Auf der Webseite wurde die Telefonnummer der Kunden nicht eingeholt,
obwohl die Apotheke im Versandhandel diesbezüglich verpflichtet ist, damit eine
kostenlose Beratung durch pharmazeutisches Personal der Apotheke erfolgen kann.
Das KG war einer anderen Ansicht betreffend Eingriff in die europäische
Warenverkehrsfreiheit. Die Telefonnummerpflicht gilt für Beklagte gleichermassen
wie für inländische Versandhandelsapotheken. Für die Belieferung ist das
Erfragen der Telefonnummer eine Voraussetzung.
Der generelle Ausschluss der
Arzneimittel vom Widerrufsrecht ist unzulässig. Fraglich ist, ob verschriebene
Fertigarzneimittel von § 213g Abs. 2 Nr. 1 BGB erfasst sind, wobei bei
Verträgen zur Lieferung von Waren, die eindeutig auf die persönlichen
Bedürfnisse des Verbrauchers zugeschnitten sind, kein Widerrufsrecht besteht.
Das Gericht bezweifelte, dass Fertigarzneimittel unter § 312g Abs. 2 Nr. 1 BGB
subsumiert werden können.
Doch nach § 312g Abs. 2 Nr. 2
BGB ist das Widerrufsrecht bei Waren ausgeschlossen, die schnell verderben
können oder deren Verfallsdatum schnell überschritten würde. Das Gericht hat
auch diese Massnahme ausgeschlossen. Die zurückgegebenen Medikamente gelten im
Grosshandel nach § 7b Abs. 2 S. 1 AMHandelsV nicht mehr als verkehrssicher.
Das Gericht war der Ansicht,
dass Arzneimittel keine Waren sind, die generell schnell verderben können. Die
Annahme eines «rechtlichen Verderbens» erscheint als eine semantische
Kunstkonstruktion, die aber dem Gesetzeswortlaut und dem erkennbaren
Gesetzgeberwillen, ein generelles Widerrufsausschlussrecht hier gerade nicht
herzugeben ersichtlich zuwiderläuft.
Im Einzelfall könne der
Ausschluss des Widerrufsrechts bei erfolgter Entfernung des Siegels bei
Gesundheits- oder Hygieneartikeln nach § 312g Abs. 2 Nr. 3 BFB eingreifen,
jedoch nicht immer.
__________________________________________________________________
Urteil des LG Köln vom 21.05.2019 - Quelle: https://www.onlinepc.ch/mobile/apps/play-store-google-kunden-richtig-widerrufsrecht-informiert-1736610.html
Das Landgericht Köln hat mit Urteil vom 21. Mai 2019 entschieden, dass der Google Konzern in seinem Play Store die Kunden nicht richtig über den Verlust ihres Widerrufsrechtes informiert hat. Das Urteil ist noch nicht rechtskräftig, weil Google dagegen Berufung beim Oberlandesgericht Köln eingelegt hat. Die Klägerin ist in diesem Fall die Verbraucherzentrale NRW.__________________________________________________________________
Endurteil des OLG München vom 12.06.2019 - 7 U 1630/18 - Quelle: https://www.jurpc.de/jurpc/show?id=20190086
Das OLG München hat mit Endurteil vom 12.06.2019 entschieden, dass es sich beim gebrauchten Kraftfahrzeug um einen normalen Verschleiss handelt, der keinen Sachmangel darstellt. Ausserdem liege ein Gewährleistungsausschluss vor. Die Berufung der klagenden Partei ist unbegründet, weswegen sie vom Landgericht abgewiesen wurde. Es besteht kein Schadenersatzanspruch, da die Parteien einen Gewährleistungsausschluss vereinbart haben und das Fahrzeug somit der vertraglich vereinbarten Beschaffenheit entsprach.
Im vorliegenden Fall wurde auf der Ebay Anzeige angegeben, dass es sich um einen Verkauf aufgrund des Baujahres 1996 handelt und es sich um ein Bastlerfahrzeug handelt. Ausserdem wurde noch zwischen den Parteien auch eine Beschaffenheitsvereinbarung getätigt, wonach die Sache frei von Sachmängeln ist, wenn sie beim Gefahrübergang die vereinbarte Beschaffenheit hat. Da eine solche Vereinbarung vorliegt, ist fraglich, ob sich der Verkäufer bzw. der Beklagte auf den Gewährleistungsausschluss berufen kann. Eine Beschaffenheitsvereinbarung und der Sachmängelausschluss stehen gleichrangig nebeneinander, was bedeuten würde, dass der Käufer sich nicht darauf berufen kann. Mit der Bezeichnung «Bastlerfahrzeug» ändert sich somit an der Beschaffenheitsvereinbarung nichts, denn bei einem Kaufpreis von 10.500,00 Euro kann auch bei einem 20 Jahre alten Fahrzeug nicht mehr angenommen werden, dass es ausschliesslich zum «Herumschrauben» verwendet wird.
Sofern das Fahrzeug als «fahrbereit» bezeichnet wurde, gilt gemäss der Rechtsprechung des BGH, dass das Fahrzeug nicht verkehrsgefährdende Mängeln aufweisen darf (Urteil vom 22.11.2006 - VIII ZR 72/06, Rdnr. 21). Das Fahrzeug ist nach der Übergabe mehrere hundert Kilometer gefahren, wobei eine längere Fahrtstrecke angenommen werden darf und die Beschaffenheitsvereinbarung «fahrbereit» somit erfüllt wurde. Demzufolge hat der Kläger keinen Schadenersatzanspruch, denn das Fahrzeug entspricht der Beschaffenheit und ein Gewährleistungsausschluss wurde ausserdem noch vereinbart.
__________________________________________________________________
Das OLG Nürnberg hat mit Urteil 3 W 1470/19 vom 17.07.2019 entschieden, dass das Auskunftsrecht unter folgenden Voraussetzungen erteilt werden kann: Die Auskunft dient zur Durchsetzung zivilrechtlicher Ansprüche wegen der Verletzung absolut geschützter Rechte und das Vorgehen betrifft rechtwidrige Inhalte. Ausserdem muss der Anspruchsgegner ein «Soziales Netzwerk» im Sinne von § 1 Abs. 1 S. 1 NetzDG sein.
Die Antragsteller (Betreiber der Zahnarztpraxis) fordern die Antragsgegnerin (Betreiberin von «Google Maps») zur Löschung der Bewertung und Auskunftserteilung auf. Die Antragsgegnerin soll die Bestandsdaten insbesondere Name, Vorname, Anschrift, E-Mail-Adresse und Telefonnummer derjenigen Person herausgeben, die die Bewertung abgegeben hat.
Im vorliegenden Fall gelten die Voraussetzungen für die Auskunftserteilung als nicht erfüllt, da das Vorgehen keine rechtswidrigen Inhalte enthält. Darüber hinaus stellt sich die Frage, ob der von der Antragsgegnerin betriebene Dienst «Google Maps» ein soziales Netzwerk darstellt. Eine «Ein-Sterne-Bewertung» ohne aussagekräftigen Begleittext bei «Google Maps» beinhaltet die implizite Tatsachenbehauptung, dass der Bewerter in irgendeiner Form mit dem Leistungsangebot des Bewerteten in Kontakt gekommen ist und dieses als unzureichend empfunden hat. Die Bewertungen tangieren den Schutzbereich nur, sofern sich die negativen Bewertungen unmittelbar auf die Zahnarztpraxis beziehen. Wird jedoch ein Konkurrent positiv bewertet, fällt dies nicht unter dem Schutzbereich des Persönlichkeitsrechts der Antragsteller.
Im Falle, dass sich die Äusserung eignet, das unternehmerische Ansehen in der Öffentlichkeit zu beeinträchtigen, ist ein Eingriff in den Schutzbereich des allgemeinen Persönlichkeitsrechts zu bejahen. Das Landgericht erläutert in diesem Fall, dass eine positive Bewertung des Konkurrenten in keinem Zusammenhang zu den Antragstellern und deren Tätigkeit steht. Ein rechtswidriger Eingriff in das Persönlichkeitsrecht besteht somit nur, wenn das Schutzinteresse des Betroffenen die schutzwürdigen Belange der anderen Seite überwiegt. Die Bewertung stellt somit eine zulässige Meinungsäusserung dar.
Das Web ist jedoch kein Ort des Höflichkeitsaustausches, weswegen bei Äusserungen im Internet ein grosser Ermessensspielraum gilt. Die Bewertungen im Internet sind als Werturteile zu qualifizieren, die nicht als Nicht-, Gering- oder Missachtung gelten. Nach der Ausführung des Landgerichts handelt es sich hier schliesslich um sozialadäquate Äusserungen des Grades der Un- oder Zufriedenheit eines Nutzers der Dienstleistungen, weswegen keine Auskunft erteilt werden darf.
__________________________________________________________________
Beschluss des LG Nürnberg-Fürth vom 07.06.2019 - 11 O 3362/19 - Quelle: https://www.jurpc.de/jurpc/show?id=20190088
Das LG Nürnberg-Fürth hat mit Beschluss 11 O 3362/19 vom 07.06.2019 entschieden, dass die Äusserung des Twitter-Nutzers: «Dringende Weiterempfehlung für alle AfD-Wähler. Unbedingt den Stimmzettel unterschreiben», vom Grundrecht der Meinungsfreiheit erfasst wird und es sich um ein blosses Werturteil handelt, jedoch keine Behauptung von unwahren Tatsachen darstellt.
Der Antragsteller (der Twitter-Nutzer) wurde wegen seiner Äusserung vom Antragsgegner (Twitter) gesperrt. Zwischen dem Antragsteller und dem Antragsgegner besteht ein vertragliches Verhältnis über die Nutzung der Plattform Twitter. Diesbezüglich darf der Betreiber einer solchen Plattform Verhaltensregeln zu deren Nutzung aufstellen und den Nutzeraccount sperren lassen.
Eine Sperrung des Accounts ist insbesondere dann vorgesehen, wenn die Nutzung von Twitter das Ziel hat, die Wahlen zu manipulieren oder zu beeinträchtigen. Mit der Richtlinie zur Integrität von Wahlen aus April 2019 wurde eine solche Nutzung untersagt. Ein Verstoss gegen die Richtlinie kann zu einer vorübergehenden Verwehrung sowie zu einer Sperrung des Accounts führen. In den allgemeinen Geschäftsbedingungen ist eine Sperrung auch vorgesehen.
Im vorliegenden Fall liegt am Ende der Äusserung ein Zwinker-Smiley vor, welches schliessen lässt, dass es sich um keinen ernst gemeinten Rat an AfD-Wähler handelt. Mit dieser Äusserung hat der Antragsteller vielmehr durch Ironie seine ablehnende Haltung gegenüber AfD gezeigt. Die Sperrung des Accounts ist somit nicht gerechtfertigt. Schiesslich besteht auch eine besondere Dringlichkeit für die Nutzung von Twitter, da der Account des Antragstellers auch für berufliche Zwecke genutzt wird. Die Beeinträchtigung besteht insofern, als der Antragsteller ausser dem Einloggen keine neuen Tweets veröffentlichen, lesen, retweeten, liken oder kommentieren kann.
https://openjur.de/u/2174877.html
__________________________________________________________________
27. Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) 2018 – Quelle:
https://datenrecht.ch/hmbbfdi-anforderungen-an-die-infrastruktur-eines-eu-vertreters/
Der HmbBfDI hielt in seinem 27. Tätigkeitsbericht 2018 fest, dass die Nutzung eines Unionsvertreters dann den Anforderungen nach Art. 27 DSGVO entspricht, wenn einerseits die Vertretung des Verantwortlichen sichergestellt ist und andererseits die Kommunikation mit den aus dem Drittland agierenden Mitarbeitern des Vertreters reibungslos funktioniert und im Bedarfsfall Treffen abgehalten werden.
Der HmbBfDI hielt im besagten Tätigkeitsbericht fest, dass die Nutzung eines Unionsvertreters für Drittlands-Unternehmen in Form einer minimalen Infrastruktur seitens des Vertreters, mit einer Postanschrift im Unionsraum und ohne eigenes Personal, das regelmässig vor Ort ist, nur dann den Voraussetzungen nach Art. 27 DSGVO gerecht wird, wenn die Vertretung des Verantwortlichen tatsächlich sichergestellt ist. Solange die Kommunikation mit den – im vorliegenden Fall – aus der Schweiz agierenden Mitarbeitern des Vertreters reibungslos funktioniert und im Bedarfsfall Treffen in der Hamburger Bürogemeinschaft abgehalten werden, wird die Hamburger Niederlassung dem Zweck des Art. 27 DSGVO gerecht.
Im vorliegenden Fall hatte die in der Schweiz ansässige und als Verein international tätige FIFA einen in Hamburg ansässigen EU-Vertreter i.S.v. art. 27 i.V.m. Art. 3 Abs. 2 DSGVO bestellt. Als ein Datenleck entstand, meldete die FIFA dieses deshalb in Einklang mit einer Empfehlung der damaligen Artikel-29-Datenschutzgruppe beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). In diesem Zusammenhang hielt der HmbBfDI die oben erwähnten Anforderungen an den EU-Vertreter fest.
27. Tätigkeitsbericht des HmbBfDI 2018, S. 52 f.: https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf
Empfehlung der Artikel-29-Datenschutzgruppe (Guidelines on Personal data breach notification under Regulation 2016/679, S. 18): https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=49827
Beschluss des OLG Frankfurt am Main vom 28.6.2019 – 6 W 35/19 – Quelle: https://www.rv.hessenrecht.hessen.de/jportal/recherche3doc/OLG_Frankfurt_6_W_35-19_LARE190035531.pdf?json=%7B%22format%22%3A%22pdf%22%2C%22priceConfirmed%22%3Afalse%2C%22docPart%22%3A%22L%22%2C%22docId%22%3A%22LARE190035531%22%2C%22portalId%22%3A%22jurisw%22%7D&_=%2FOLG_Frankfurt_6_W_35-19_LARE190035531.pdf
Das OLG Frankfurt hat entschieden, dass die Empfehlung eines Produktes durch einen «Influencer» in dessen sozialem Medium, welches einen kommerziellen Zweck nicht erkennen lässt, jedenfalls dann eine nach § 5aVI UWG verbotene getarnte Werbung darstellt, wenn der „Influencer“ sich hauptberuflich mit dem Geschäftsbereich, zu dem das empfohlene Produkt gehört, beschäftigt und geschäftliche Beziehungen zu den Unternehmen unterhält, deren Produkte er empfiehlt.
Im Wiederholungsfall droht dem Beklagten ein Ordnungsgeld in der Höhe von bis zu EUR 250'000.00 oder eine Ordnungshaft bis zu sechs Monaten.
Das Urteil ist nicht anfechtbar und damit rechtskräftig.
https://www.rv.hessenrecht.hessen.de/jportal/recherche3doc/OLG_Frankfurt_6_W_35-19_LARE190035531.pdf?json=%7B%22format%22%3A%22pdf%22%2C%22priceConfirmed%22%3Afalse%2C%22docPart%22%3A%22L%22%2C%22docId%22%3A%22LARE190035531%22%2C%22portalId%22%3A%22jurisw%22%7D&_=%2FOLG_Frankfurt_6_W_35-19_LARE190035531.pdf
Beschluss des LG Hildesheim vom 26.6.2019 – 3 O 179/19 – Quelle: https://www.internetworld.de/e-commerce/amazon/amazon-sellerin-wehrt-gerichtlich-account-sperre-1727888.html
Das LG Hildesheim hat mit Beschluss 3 O 179/19 vom 26.6.2019 im Eilverfahren entschieden, dass Amazon die Sperrung des Accounts einer Amazon-Verkäuferin sofort aufheben muss. Im vorliegenden Fall empfanden die Richter, dass einem solchen existinziellen Eingriff in eine besitzähnliche Rechtsposition der Antragstellerin sowohl eine vertragliche als auch eine gesetzliche Grundlage fehle.
Das LG Hildesheim hat mit Beschluss 3 O 179/19 vom 26.6.2019 im Eilverfahren entschieden, dass Amazon die Sperrung des Accounts einer Amazon-Verkäuferin sofort aufheben muss. Im vorliegenden Fall empfanden die Richter, dass einem solchen existinziellen Eingriff in eine besitzähnliche Rechtsposition der Antragstellerin sowohl eine vertragliche als auch eine gesetzliche Grundlage fehle.
Das Landgericht Hildesheim hat mit Beschluss vom 26.6.2019 im Eilverfahren entschieden, dass
Amazon die Sperrung des Accounts einer Amazon-Verkäuferin sofort aufheben muss. Im vorliegenden Fall empfanden die Richter, dass die im Rahmen einer Bekämpfung von gefälschten Bewertungen durchgeführten Sperrungsmassnahmen von Amazon einen Eingriff in eine besitzähnliche Rechtsposition der Antragstellerin darstellen und deshalb einer vertraglichen oder gesetzlichen Grundlage bedürfen.
Natürlich stehe es Amazon vor dem Hintergrund der Vertragsfreiheit frei, den Vertrag mit einem Verkäufer ordentlich zu kündigen. In diesem Fall müsse Amazon jedoch bestimmte Fristen einhalten und könne den betroffenen Händler nicht einfach «rauswerfen» und erst recht kein Guthaben einbehalten.
Der Beschluss des Landgerichts Hildesheim ist nicht rechtskräftig und könnte nach Rechtskraft für alle Amazon-Seller richtungsweisend sein.
Die Kopie des Beschlusses des LG Hildesheim wird von Rechtsanwälte LHR (Köln) unter folgendem Link zur Verfügung gestellt: https://www.lhr-law.de/wp-content/uploads/2019/07/LG-Hildesheim-Amazon-Verkäuferkonto-gesperrt.pdf
Urteil des OLG Oldenburg vom 1.7.2019 – 13 W 16/19 – Quelle: https://oberlandesgericht-oldenburg.niedersachsen.de/startseite/aktuelles/presseinformationen/facebook-muss-geloschten-post-wieder-einstellen-178429.html
Das OLG Oldenburg hat mit Urteil 13 W 16/19 vom 1.7.2019 im Eilverfahren entschieden, dass Facebook einen ursprünglich gelöschten Post wieder einstellen muss. Im vorliegenden Fall empfanden die Richter, dass das Recht der Meinungsfreiheit andernfalls in unzulässigem Masse eingeschränkt wird.
Urteil des BGH vom 28.3.2019 – I ZR 85/18 – Quelle: Internet World Business 9/19 vom 6.5.2019.
Urteil des VerwG Lüneburg vom 19.3.2019 – 4 A 12/19 – Quelle: https://www.datenschutz.eu/urteile/GPS-Ortungssystems-des-eigenen-Fuhrparks-datenschutzrechtlich-unzulaessig-Verwaltungsgericht-Lüneburg-20190319/
Das VerwG Lüneburg hat mit Urteil vom 19.3.2019 entschieden, dass der Einsatz eines GPS-Ortungssystems die Lokalisierung des eigenen Fuhrparks datenschutzrechtlich unzulässig ist, sofern keine gültige Einwilligung des Nutzers resp. des Arbeitnehmers vorliegt.
Urteil des LG Karlsruhe vom 21.3.2019 – 13 O 38/18 KfH – Quelle: https://www.jurpc.de/jurpc/show?id=20190048
Das LG Karlsruhe hat mit Urteil vom 21.3.2019 entschieden, dass ein im Rahmen eines Instagram-Posts eingebetteter Tag im Foto mit der Verlinkung zum Marken-Herstellerseiten eine geschäftliche Handlung darstellt und daher eine entsprechende Werbekennzeichnung benötigt.
Das Landgericht Karlsruhe hat entschieden, dass ein Instagram-Post, bei dem in das Foto eingebettete Tags mit Marken-Herstellerseiten verlinkt sind, eine geschäftliche Handlung im Sinne von § 2 Abs. 1 Nr. 1 UWG darstellt. Durch sie fördert der Betreiber des Accounts - i.d.R. ein sog. Influencer - die beworbenen Unternehmen ebenso wie sein eigenes, auf Werbeeinahmen zielendes Unternehmen. Die Kennzeichnung eines solchen Instagram-Auftritts als Werbung ist nicht entbehrlich. Insbesondere ist der werbliche Charakter nicht für alle - oft jugendlichen, teilweise kindlichen - Nutzer offensichtlich. Dies gilt umso mehr, als es das Geschäftsmodell von Influencern darstellt, (scheinbar) private mit kommerziellen Posts zu mischen.
Urteil des LG Bochum vom 23.1.2019 – I-13 O 1/19 – Quelle: https://www.justiz.nrw.de/nrwe/lgs/bochum/lg_bochum/j2019/13_O_1_19_Urteil_20190123.html
Erklärung der niederländischen Datenschützer vom 7.3.2019 – Quelle: https://t3n.de/news/cookies-verstoesst-ein-zwang-gegen-etwa-die-dsgvo-1149428/?etcc_cmp=Newsletter_Mar19&etcc_med=Newsletter&etcc_par=Cleverreach&et_cmp_seg4=DE_Alle&et_cmp_seg3=t3n_DSGVO
Fehlt es bei den Daten von konzerneigenen Diensten und Drittwebseiten an der Einwilligung, kann Facebook die Daten nur noch stark eingeschränkt dem Nutzerkonto zuordnen. Entsprechende Lösungsvorschläge hierfür muss Facebook erarbeiten und dem Amt vorlegen.
________________________________________________________________________In der Praxis stellt sich häufig die Frage, ob anstelle einer Löschung von Personendaten auch ihre Anonymisierung genügt. Die DSGVO gibt dazu keine klare Auskunft. Aus dem Sinn des Datenschutzrechts folgt aber eindeutig, dass die Anonymisierung genügen muss:
Daraus muss geschlossen werden, dass die Anonymisierung datenschutzrechtlich der Löschung entspricht, also ein Löschungsäquivalent ist, und demnach immer dann ohne weiteres zulässig ist, wenn eine Löschung erlaubt oder geboten ist.
Mit dieser Frage hat sich nun auch die österreichische Aufsichtsbehörde befasst (Entscheid DSB-D123.270/0009-DSB/2018 vom 5. Dezember 2018). Der Verantwortliche hatte auf ein Löschungsbegehren bestätigt, er habe die Daten des Antragstellers je nach System entweder gelöscht oder „DSGVO-konform anonymisiert“. Diese Vorgehensweise einer Löschung gleichzustellen. Die Datenschutzbehörde gibt dem Verantwortlichen recht: Die DSGVO definiere den Begriff der “Löschung” nicht. Aus Art. 4(2) DSGVO ergebe sich aber, dass das Löschen und die Vernichtung zwei unterschiedliche Dinge sind, woraus wiederum folgt, dass eine Löschung nicht zwingend eine endgültige Vernichtung voraussetzt. Auch die Entfernung des Personenbezugs könne ein mögliches Mittel zur Löschung i.S.v. Art. 4(2) i.V.m. Art. 17 Abs. 1 DSGVO sein. Die Anonymisierung muss aber eine vollständige sein:
Es muss […] sichergestellt werden, dass weder der Verantwortliche selbst, noch ein Dritter ohne unverhältnismäßigen Aufwand einen Personenbezug wiederherstellen kann […]. Nur wenn der Verantwortliche die Daten im Ergebnis auf einer Ebene aggregiert, sodass keine Einzelereignisse mehr identifizierbar sind, kann der entstandene Datenbestand als anonym (also ohne Personenbezug) bezeichnet werden (vgl. die Stellungnahme 5/2014 zu Anonymisierungstechniken der ehemaligen Art. 29-Datenschutzgruppe, WP216, S. 10).
Die Landesbeauftragte für den Datenschutz Niedersachsen hat sich in einem Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen klar positioniert: Den Messenger-Dienst im geschäftlichen Kontext, also bei Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) zu nutzen, sei illegal. Dies begründet die Behörde ausführlich. Zusammengefasst werden folgende Punkte moniert:
1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp sei regelmäßig unzulässig. Das Unternehmen verwende die Metadaten, also wer mit wem wie oft kommuniziert für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen. Im Hinblick auf Nutzer, die selbst WhatsApp nutzen, könne man sich ggf. noch auf die „berechtigten Interessen nach Art. 6 Abs. 1 f) DSGVO stützen. Eine Übermittlung gespeicherter Nummern, die nicht bei dem Dienst angemeldet sind, sei ohne informierte Einwilligung hingegen unzulässig. Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern sei nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Dies führt aber dazu, dass man den Dienst nicht richtig nutzen kann.
2. Die Übermittlung von personenbezogenen Daten in die USA.
Die Übermittlung von personenbezogenen Daten in die USA sei bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Aktuell sei das Privacy Shield-Abkommen mit den USA auch noch in Kraft. Es bestünden jedoch erhebliche Bedenken gegen die Rechtmäßigkeit des Privacy Shields. Es bestehe daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird.
3. Die Nutzung von personenbezogenen Daten durch WhatsApp.
WhatsApp sei ein Diensteanbieter, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen seien. WhatsApp lege selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden.
4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns
Zwar informieren Facebook und WhatsApp jetzt in ihren Datenschutzerklärungen, darüber, dass Daten zwischen den Unternehmen geteilt werden. Das ändert jedoch nichts an der Rechtswidrigkeit dieses Austauschs. Damit wenden sich die Unternehmen des Konzerns sowohl gegen Entscheidungen deutscher Gerichte als auch die klare Kritik der Europäischen Aufsichtsbehörden.
______________________________________________________________________
Die französische Datenschutzbehörde CNIL stellt Verstöße gegen die seit dem 25.5.2018 geltende DSGVO fest und verhängt die bisher höchste Strafe mit Euro 50 Millionen gegen Google.
CNIL bemängelte, die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung sei nicht gültig, weil die Nutzer nicht ausreichend informiert würden. So sei die Vielfalt der beteiligten Google-Dienste wie YouTube, Google Maps oder der Internet-Suche nicht ersichtlich. Zudem seien Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum für die Nutzer nicht einfach genug zugänglich, erklärte die Behörde. Sie seien über mehrere Dokumente verteilt und Nutzer müssten sich über mehrere Links und Buttons durchklicken. Zudem seien einige der Informationen unklar formuliert.
____________________________________________________________________________
Beschluss der österreichischen Datenschutzbehörde vom 30.11.2018
Mit Beschluss vom 30.11.2018 hat sich die österreichische Datenschutzbehörde zur Problematik der Freiwilligkeit einer Einwilligung des Webseitenbesuchers in die Cookie-Verarbeitung geäußert.
________________________________________________________________________
OLG Düsseldorf, Urteil vom 5.4.2018, Az.: I-20 U 155/16
Die Ausnahmeregelung, wonach Mailings ohne Einwilligung an Bestandskunden versendet werden dürfen, gilt nicht für E-Mail-Werbung an Interessenten, welche noch keine Produkte im Online-Shop bestellt haben und damit noch kein Vertragsabschluss zustande gekommen ist.
Ein Unternehmer schickte Werbung per E-Mail an die Klägerin ohne deren vorherige Einwilligung. Diese hatte sich zwar in der Vergangenheit über Angebote des Beklagten (Online-Shop-Betreibers) informiert, zu einem Vertragsschluss war es aber nie gekommen. Das OLG Düsseldorf verurteilte das Unternehmen zur Unterlassung. Eine Voraussetzung des § 3 Abs. 3 des Gesetzes gegen den unlauteren Wettbewerb (Deutschland), wonach E-Mails auch ohne vorheriges Einverständnis versendet werden dürfen, sei, dass der Versender die Adresse des Kunden im Zusammenhang mit dem verkauf einer Ware oder Dienstleistung erhalten habe. Hier sei es jedoch nicht zu einem Vertragsschluss gekommen, sodass die Empfängerin der Werbemail keine Kundin geworden sei.
E-Mail-Werbung kann nach der Ausnahmeregelung von § 3 Abs. 3 UWG (Deutschland) offenbar ohne Einwilligung an deutsche Konsumenten unter insgesamt vier Voraussetzungen versendet werden, die alle zusammen erfüllt sein müssen. Insbesondere muss ein Vertragsschluss erfolgt sein.
In § 7 Abs. 3 UWG (Deutschland) sind diese Voraussetzungen zusammengefasst. Abweichend von § 7 Absatz 2 Nummer 3 UWG (Deutschland) ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn
Also es gibt zwar Möglichkeiten, die Bestandskunden direkt (ohne zusätzliche Einwilligungserklärung) anzuschreiben, dann müssen aber die obgenannten 4 Bedingungen erfüllt sein. In den meisten Fällen dürfte es insbesondere an der Voraussetzung Nr. 4 fehlen, da im damaligen Zeitpunkt der Erhebung der Adresse es unterlassen wurde, klar und deutlich auf die Möglichkeit des jederzeitigen Widerrufs hinzuweisen. Prüfen Sie also genau, ob Sie Ihre Bestandskunden auf der Basis dieser Ausnahmebestimmungen in § 7 Abs. 3 UWG (Deutschland) ohne Einwilligung anschreiben dürfen.
Tip: Für alle Online-Shop-Betreiber aus der Schweiz sei auch empfohlen, den Anhang zu § 3 Abs. 3 UWG (Deutschland) zu lesen. Darin sind alle unlauteren Werbehandlungen aufgezählt, welche im Werbezusammenhang mit deutschen Konsumenten unter allen Umständen zu unterlassen sind. Den Anhang finden Sie hier.
BGH Urteil Az.: VI ZR 225/17
Werbung per E-Mail ohne Zustimmung des Empfängers ist unzulässig (ausgenommen die Ausnahmetatbestände in § 7 Abs. 3 UWG (Deutschland); vgl. untenstehende Rubrik "Keine Bestandskunden-Mailing an Interessen / Mögliche Ausnahmen"). Darunter fallen nicht nur Werbemails, sondern auch indirekte Werbeformen wie Fragen, warum ein Kunde eine Bestellung abgebrochen hat.
Der Bundesgerichtshof in Deutschland hat jetzt entschieden, dass auch die Zusendung der weitverbreiteten E-Mails mit der Bitte um eine Bewertung bzw. Kundenzufriedenheitsbefragung regelmässig unzulässig sind.
Dies gilt nach der Ansicht des BGH selbst dann, wenn die entsprechende E-Mail auch die Rechnung der Bestellung enthält. Die Übersendung einer Rechnung ist zwar noch keine Werbung, was aber nicht zur Folge hat, dass die in der gleichen E-Mail enthaltene Bitte um Bewertung oder die beigefügte Kundenzufriedenheitsbefragung keine Werbung darstellt.
Auch die Anwendbarkeit von § 7 Abs. 3 UWG (Deutschland) lehnte der BGH im vorliegenden Fall ab, da der Beklagte schon bei der Erhebung der E-Mail-Adresse und bei jeder weiteren Verwendung den Kunden nicht klar und verständlich darauf hingewiesen hat, dass er der Verwendung jederzeit widersprechen kann, ohne dass dafür andere als die Übermittlungskosten nach den Basistarifen entstehen (vgl. unsere untenstehende Rubrik "Keine Bestandskunden-Mailing an Interessen / Mögliche Ausnahmen").
Tip: Wer weiterhin an Bewertungsanfragen festhalten will und rechtlich auf Nummer sicher gehen möchte, muss sich dies vom Kunden per Checkbox-Bestätigung (clickwrapping) im Rahmen des Bestellvorgangs bereits im voraus bestätigen lassen und gleichzeitig auf das Widerspruchsrecht hinweisen.
OLG München, Urteil vom 13.11.2018 - 18 U 1280/16
Amtsgericht Diez, Urteil vom 7.11.2018 - 8 C 130/18; vgl. auch Zeitschrift Datenschutz-Berater, 12/2018, Seite 259
Die unerlaubte Versendung einer Werbe-E-Mail löst keinen Anspruch auf Schmerzensgeld im Sinne von Art. 82 Abs. 1 DSGVO aus. Es bedürfe vielmehr einer nicht unerheblichen Beeinträchtigung der Interessen des einzelnen Betroffenen. In dem Fall hat der Versender einer Werbemail (Anlass war eine Re-Opt-In-Kampagne) bereits einen Betrag von 50 € an den Empfänger gezahlt, womit dieser sich aber nicht zufrieden gab und mindestens 500 € forderte. Das Gericht lehnte den Anspruch mit der Begründung ab, dass dem Empfänger kein spürbarer Nachteil entstanden sei und es sich daher um einen Bagatellverstoss handle. Durch die gezahlten 50 € sei darüber hinaus ein etwaig bestehender Schmerzensgeldanspruch als abgegolten anzusehen.
OLG München, Teilurteil vom 24.10.2018 - 3 U 1551/17; vgl. auch Zeitschrift für Datenschutz-Berater, 12/2018, Seite 259
Ein Anspruch auf Herausgabe von Kundendaten ist durch die DSGVO nicht grundsätzlich beschränkt. Hintergrund war ein bestehender Händlervertrag zwischen der Klägerin und der Beklagten, aus dem die Beklagte zur Vorbereitung eines Schadenersatzanspruchs wegen Verletzung der Vertragspflichten einen Auskunftsanspruch geltend machte. Von dieser Auskunft waren auch personenbezogene Kundendaten des Klägers betroffen. In einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO gewichtete das OLG München das Interesse der Beklagten an der Durchsetzung möglicher Schadenersatzansprüche höher als die Interessen der betroffenen Kunden und begründete seine Entscheidung damit, dass keine höchstpersönlichen Daten oder besonderes Know-How weitergegeben worden sei, sondern ausschliesslich wirtschaftliche Daten über mehrere Kaufabwicklungen.
__________________________________________________________________________
Wer sich mit diesem Thema beschäftigen muss, für den ist die "Orientierungshilfe der deutschen Datenschutz-Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO)" vom November 2018 absolute Pflichtlektüre. Wir empfehlen Ihnen, die 14 Seiten der Empfehlung gut zu lesen.
Zeitschrift Datenschutz-Berater, DSB 12/2018, Seite 257
Nach dem Grundsatz der Vertraulichkeit muss bei der Verarbeitung durch geeignete technische und organisatorische Massnahmen eine angemessene Sicherheit gewährleistet sein, insbesondere bezogen auf den Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust der personenbezogenen Daten. Als zu ergreifende Massnahme benennt Art. 32 Abs. 1 lit. a DSGVO unter anderem die Verschlüsselung der personenbezogenen Daten. Das durch die technischen und organisatorischen Massnahmen gewährleistete Schutzniveau muss gemäss Art. 32 Abs. 1 DSGVO zu dem Risiko der Verarbeitung in einem angemessenen Verhältnis stehen. Im Rahmen dieser Abwägung sind u.a. Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos (vgl. dazu die Datenschutz-Folgeabschätzung) für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat in seinem Tätigkeitsbericht für 2016/2017 (Seite 44) den unverschlüsselten E-Mail-Versand von Rechnungen und Bestellbestätigungen, in denen auch Kontoinformationen (IBAN, BIC) der betroffenen Personen enthalten sind, als unzulässig bewertet. Gerade die Kombination aus der Identität des Kontoinhabers, seiner IBAN und seiner BIC würden in diesem Fall ein hohes Missbrauchsrisiko begründen. Dokumente, die Bankverbindungen der Kunden enthalten, sind entweder postalisch oder mit verschlüsselter E-Mail zu versenden oder, wenn dennoch der unverschlüsselte elektronische Versand erfolgen soll, die enthaltene IBAN und/oder BIC zu maskieren.
Urteil des Landgerichts Frankfurt am Main vom 13.09.2018 - 2-03 O 283/18 - Quelle: https://www.rdv-online.com/blog/detail/sCategory/120/blogArticle/2424; vgl. auch Zeitschrift Datenschutz-Berater, 12/2018 (Seite 263 mit Kommentar von Prof. Dr. Jürgen Vahle.
________________________________________________________________________
Das Landgericht Würzburg hat beschlossen, dass beim Verstoss gegen die DSGVO infolge einer mangelhafter Datenschutzerklärung ein solcher des Wettbewerbrechts gemäss § 3a UWG vorliegt und somit vom Antragsteller abgemahnt werden konnte. Dem Antrag konnte lediglich nicht dahingehend entsprochen werden, der Antragsgegnerin eine vom Gericht festzusetzende Vertragsstrafe anzudrohen. Der Antragsgegnerin – im vorliegenden Fall eine Anwaltskanzlei – sind vielmehr für den Fall der Zuwiderhandlung gegen das erlassene Verbot die in § 890 Abs. 1 ZPO vorgesehenen Ordnungsmittel anzudrohen.
_______________________________________________________________________
Kein Unterlassungsanspruch von Mitbewerbern aufgrund von Datenschutzrechtsverstössen gemäss DSGVO
Urteil des Landgerichts Bochum vom 7. August 2018 – I-12 O 85/18 – Quelle: http://www.jurpc.de/jurpc/show?id=20180152
______________________________________________________________________
________________________________________________________________________
Enthält die DSGVO überhaupt Marktverhaltensregeln?: Die meisten Gerichte haben zumindest vor Anwendbarkeit der DSGVO meist eine vermittelnde Ansicht vertreten und im Einzelfall entschieden, ob die datenschutzrechtliche Norm, um die es geht, eine Marktverhaltensregel ist oder nicht. Hier komme es auf die Frage an, ob die betroffenen personenbezogenen Daten als wirtschaftliches Gut verarbeitet werden – so wie es z.B. bei einer Nutzung zu Werbezwecken der Fall sei.